>Jak se neztratit v záplavě logů1. listopadu 2016 - Anect Security Day
Miroslav Knapovský CISSP, CEH, CCSK
Security Solution [email protected]
Nějak se nám to tady množí…__
4. listopadu 2016 / Strana 2
Světová populace
Roků k další miliardě
RokMiliard
obyvatel
- 1800 1
127 1927 2
33 1960 3
14 1974 4
13 1987 5
12 1999 6
12 2011 7
14 2025* 8
*optimistický výhled Zdroj: wikipedia.org
Nějak se nám to tady množí…__
4. listopadu 2016 / Strana 3
Množství logů ve firmě
Zaměstnanců EPS Dní do Miliardy logů
250 200 125
500 500 50
1000 700 35
3000 1500 15
Plánováníkapacity?
>~ 3000 zaměstnanců
>~ 1000 zdrojů / 3000+ EPS / 120 GB logů denně
>~ Miliarda logů za týdenZdroj: ČT 09/16
Proč se sběrem/pochopením logů zabývat ? >Praktické / provozní důvody
Logy uložené na různých zařízeních nebo vůbec
Velikost jednotlivých log souborů a jejich rotace
Nejde centrálně vyhledávat
>Bezpečnostní důvody
Korelace – statistické, bezpečnostní
Nebezpečí modifikace logů
Přehled o anomáliích, incidentech
>Zákonné důvody
Zákon o kybernetické bezpečnosti - § 23
General Data Protection Regulation od května 2018
4. listopadu 2016 / Strana 4
Schéma LOGmanager__
4. listopadu 2016 / Strana 6
WAN vzdálený sběr s šifrováním, QoS a bufferem
Forwarder
●●
UDP
TCP
DB
●●
Log4j/XML
Syslog NGSyslog
JSON File
CEF
LAN přímý sběr
Windows Event Sender
WES
LOGmanager
Buffer Parser 12/40TB Database
Aplikační engine
Prezentační rozhraní
CheckPoint, VMWARE, SQL
Přehled funkcí __
>Dashboardy
>Alerty
>Reporty
>Databáze zařízení
>Systém práv
>Vestavěné i zákaznicky vytvářené parsery logů
>Agent pro Windows s filtrací irelevantních událostí
4. listopadu 2016 / Strana 8
LOGmanager – příklady použití __
SHODA S PŘEDPISY
Organizace vzhledem ke svému
působení potřebuje centrální
systém správy, analýzy a
reportování výstupů z
bezpečnostních zařízení,
operačních systémů a aplikací.
MONITORING
BEZPEČNOSTNÍCH ZAŘÍZENÍ –
SÍŤOVÁ BEZPEČNOST
Sledování a korelace výstupů ze
zařízení pro síťovou bezpečnost
jako jsou firewally, IDS/IPS
systémy, bezdrátové sítě,
systémy na vzdálený přístup,
proxy a podobně.
Statistiky VPN, konfigurace VPN,
aktivita připojování.
Statistiky a reporty Web Content
Filtering.
SLEDOVÁNÍ KONFIGURAČNÍCH
ZMĚN
Kdo, kdy a s jakým výsledkem
provedl nebo se pokoušel provést
konfigurační změny v zařízeních.
4. listopadu 2016 / Strana 10
LOGmanager – příklady použití 2 __
ZATÍŽENÍ FIREWALLU
A KONTROLA EFEKTIVITY
POUŽITÝCH PRAVIDEL
Která pravidla nejvíce zasahují.
Která pravidla jsou neefektivní.
Kde jsou slabá místa
zabezpečení – audit existujících
FW pravidlech.
Identifikace komunikačních toků a
podklady pro úpravu pravidel.
INFORMACE SOUVISEJÍCÍ
S OVĚŘOVÁNÍM DO SÍTĚ
NETWORK LOGIN DLE 802.1X
Operační analýza podpory
nasazování a provozování
ověřování přístupu do sítě.
Audit logy úspěšných a
neúspěšných přihlášení.
PORUŠENÍ BEZPEČNOSTNÍCH
PRAVIDEL
Komunikace s nepovolenými SMTP serveryMonitoring P2P sítí.Přístup uživatelů na nepovolené weby – WebFiltering.Podezřelé aktivity s otvíráním příliš velkého počtu spojení (SSH. Web. SMTP).Kontrola přístupu mimo proxy(servery, lidé)Dodržování komunikační politiky mezi segmenty sítě.Pokusy o přístup mimo povolené služby, protokoly.
4. listopadu 2016 / Strana 11
Blokovaný účet správce AD__C
OLL
ECT
PR
OC
ESS
AC
T
Přepínače
WLAN Servery
Routery FW
VPN
Web aplikace
SíťováSystémy
Bezpečnostní
Aplikace
IPS
Anti…Stanice
Databáze
SandBox
…Virtualizace AD CRM
V grafickém rozhraní dashboard Windows Logon Event najít logon fail příslušného uživateleIdentifikovat službu, která používá lokálního uživatele
Předat překvapenému administrátorovi informaci, že na serveru XY běží pod lokálním uživatelem danou službu
FlowMon
Podporovaná zařízení__
HARDWARE:
Brocade SAN, Cisco (ASA, WLC), FortiNet (FG,
FML, FA), H3C, HP (ComWare i ProCurve),
CheckPoint, Juniper SRX, Kernun, Trapeze wifi,
UBNT (Rocket, Unifi)
SOFTWARE:
Apache web server, Cisco IOS, CEF, CEF
TippingPoint SMS, Novell eDirectory, CompuNet
GAMA, HP iLo 4, HP iMC, Kerio Connect, SAP,
AV (Eset, Avast, AVG), VMware
WINDOWS:
ESET Remote Administrator, Microsoft Windows
IIS, Microsoft Windows firewall, Windows Avast
Antivirus, Windows 7, 8, Server 2008, 2012 audit
log (WES), Windows – any logs from Event
Viewer, Windows – any text log from file
LINUX:
Freeradius, ISC Bind, ISC DHCP, SSH
4. listopadu 2016 / Strana 15
Parametry––
>Trvalý příjem 2.000 nebo 6.000 eventů za sekundu (dle modelu)
>Podpora clusteringu.
>Neomezený počet zdrojů.
>V základu uložení 12/40TB logů se snadným škálováním výkonu i
úložné kapacity.
>Snadný a přehledný systém licencování. – Ž Á D N É L I C E N C E
>Přímá technická podpora výrobcem v českém jazyce.
4. listopadu 2016 / Strana 16
SIEMSEM
2014 2015 2016 2017 2018
PARSERY – průběžné aktualizace a doplňování SYSTÉM – zvyšování výkonu a optimalizace
Vývoj LOGmanageru––
Behaviorální analýza
Detekce vzorů (útoky)
Datacenter security
Spouštění skriptů
dle události
Sjednocování identit
Filtrace
Statistiky
Databázový stroj
Parser engine
Databáze zařízení
Podpora CEF
WES – Windows Event
Sender s filtrací
irelevantních událostí
DNS Resolver
Alerty
Reporty
Přístupová práva
Kategorizace zařízení
Kategorizace událostí
Šifrování uložených dat
Event correlator v
reálném čase
Uživatelské parsery
Archivace na externí
úložiště
Export událostí v CEF,
JSON, LEEF
Retence dat
Rozšíření Event
Correlator
Příjem SNMP událostí
Virtuální konektory
4. listopadu 2016 / Strana 17
Srovnání s konkurencí
www.logmanager.cz / Strana 18
LOGMANAGER
• hardware a implementace v ceně pořízení
• žádné licenční omezení
• rychlá implementace (dny)
• nízké náklady na provoz
• základní funkce SIEM
• uživatelsky přehlednější a intuitivnější ovládání
• předfiltrování a forward logů v nativním formátu ArcSight/Qradar (CEF/LEEF)
ARCSIGHT, QRADAR
• vysoká pořizovací cena
• složitá licenční politika
• zdlouhavá implementace (měsíce)
• vysoké náklady na provoz
• rozšířené funkce SIEM, omezený výkon
• náročné ovládací rozhraní vyžadující velké znalosti administrátora
Srovnání s konkurencí
www.logmanager.cz / Strana 19
konkurenční systémy postavené na ElasticSearch
LOGMANAGER
• žádné licenční omezení
• rychlá implementace (dny) All in oneřešení
• základní funkce SIEM
• neumožňuje mazání logů
• vlastní klient pro Windows -jednoduchá správa
KONKURENČNÍ SYSTÉMY
• různé licenční podmínky
• složitá implementace (týdny)
• systémy nefungují jako appliance, ale jako dodělej/dokonfiguruj si sám
• pouze logmanagement
• lze mazat logy
Srovnání s konkurencí
www.logmanager.cz / Strana 20
konkurenční systémy postavené na ElasticSearch
LOGMANAGER KONKURENČNÍ SYSTÉMY
• jedno uživatelské rozhraní
• široké možnosti filtrování, reportů a alertů
• přístupová práva
• předpřipravené dashboardy
• propracovaný systém standardizace logů
• široký počet podporovaných zařízení
• RAID 6 ochrana dat
• systémy jsou složeny z více softwarových aplikací, které mají jiné ovládací rozhraní
• absence alertů, reportů
• absence přístupových práv
• absence dashboardů
• Konfigurační chybou správce je systém možno rozbít
• Virtuál - nízký výkon, cena HW
Reference––
Česká televize – možnost referenční návštěvy
Česká zemědělská univerzita
Ostravská univerzita
Městská část Praha 3
Státní zemědělský intervenční fond
Krajská zdravotní a.s.
Vojenské lesy a.s.
4. listopadu 2016 / Strana 21
www.compunet.cz
LOGmanager – poslední slide ;-)_
4. listopadu 2016 / Strana 22
>Plní požadavky Zákona o kybernetické bezpečnosti, GDPR a ISO/IEC 27001.
>Uschování logů pro předložení organizacím zabývajících se bezpečností CESNET CERST a CIRST nebo Policii ČR.
>Sběr logů pro řešení bezpečnostních incidentů i provozních problémů.
>Centrální přehled s grafickou prezentací –Dashboardy.
>Intuitivní a rychlé vyhledávání.
>Forenzní analýza.
>Alerty, reporty.
>Korelace událostí.
>Sjednocení formátu logů.
>Dlouhodobé uložení se zálohováním do NFS
>Podpora clusteru v základu.
>Centrální úložiště logů.
A to vše bez licencí, v češtině a na výkonném hardware s výměnou do příštího pracovního dne.
Děkuji za pozornost
Vývojář: Sirwisa a. s. www.sirwisa.cz
Distribuce: Veracomp s. r. o. www.veracomp.cz
www.logmanager.cz
Miroslav Knapovský CISSP, CEH, CCSK
Security Solution Architect