log elemzés és log mining oracle eszközökkel
DESCRIPTION
Az idei HOUG 2010 konferencián Földi Tamás képviseli eloadásával a Starschema Kft-t az adatbiztonság és compliance szekcióban. A prezentációja célja a vállalati informatikai eszközökben felgyülemlo naplóbejegyzések elemzési lehetoségeinek bemutatása adattárházas és adatbányászati eszközökkel, felhasználva a jelenlegi Oracle és Starschema termékportfólió innovatív megoldásait.TRANSCRIPT
www.starschema.net
Tartalom
Starschema ThreatMiner
Oracle Database Vault
Megvalósítás – Oracle termékekkel
Log mining – logok adatbányászata
Naplózás és logelemzés
Starschema
Adattárház és üzleti intelligencia Oracle technológiák SAP partner
Informatikai biztonság Adattárház biztonság IS Audit
Termékfejlesztés Egyedi szoftverfejlesztés Dobozos szoftverfejlesztés
www.starschema.net
Mi történhetett?
1. Rendszergazda elhagyja a szervertermet
2. Rendszergazda belép az adatbázisba
www.starschema.net
3. Az adatbázis szerver webes kapcsolatot létesít az Internet felé (böngészés)
Logelemzés
Források IDS Tűzfalak, proxy-k Hálózati infrastruktúra Szerverek Adatbázisok Üzleti alkalmazások Intelligens épületek,
irodai infrastruktúra
Logelemzés Előállítás Összegyűjtés Előszűrés Aggregálás Konszolidálás Riasztás Tárolás (Hitelesítés) Riportolás Döntéshozás Cselekvés
www.starschema.net
www.starschema.net
Logelemzés: Miért?
Kockázatok csökkentése Új fenyegetettségek észlelése Konszolidált naplók kiaknázása
Beavatkozást igénylő események automatikus kigyűjtése
A biztonság mérése (KPI-ok, trendek)Compliance, jogszabályi kötelezettség
PCI, PSzÁFIncidensek kezelése
Logelemzés: Hogyan?
Manuálisan On-site, off-site
Filterezés Reguláris kifejezések
Aggregálás, összegzés Lefúrható riportok Grafikonok
Korrelációs elemzésKlasszifikációs elemzés
www.starschema.net
Logelemzés: Mikor?
Valós időben Korrelációra, komplex filterezésre nincs idő Néhány adat önmagában még nem tartalmaz
elegendő információtKésleltetve
„Egy nappal később vagy soha” Az elemzés értéke az idő múlásával csökken Napi rutin része
Naplókezelés és riasztás kezelés Különböző igények
www.starschema.net
Logelemzés: Mit?
Ritka, normálistól eltérő esetekMegszokott események elmaradásaNormális események láncolata
Felhasználó belép a konzolon és VPN-en Egy weboldal megnyitása majd konfiguráció
változás
Összegzett adatok, arányok megváltozása Felhasználó belépések, belépési hibák
www.starschema.net
Log Mining: Definíció
Data Mining (adatbányászat): Az elemző számára érdekes (nem triviális, egyértelmű, előzetesen ismeretlen és vélhetően hasznos) információk vagy tudás kinyerése nagy mennyiségű adatból.
Log Mining: Logelemzés adatbányászati eszközökkel
www.starschema.net
Log Mining: Eszköztár
Szóráselemzés (Deviation analysis) Célértékek és eltérései Kilógás
Osztályozás Naive bayes
Klaszterezés (Clustering)Association Rule Learning
Összefüggések tanulása
www.starschema.net
www.starschema.net
Log Mining: Előfeltételek
Központosított Egy helyen elérhető
Konszolidált Az összes adatforrás elérhető
Gyors adattárolás Adattárház szerű MPP, Columnar
• Exadata Partícionált, Tömörített
• Oracle RDBMS
LÉTEZŐMEGOLDÁSOK
www.starschema.net
Oracle Audit Vault
Centralizált, biztonságosKonszolidáltProaktív védelemAdattárház, riportok
SOX, HIPAA, PCI, DSS riportok Oracle BI Publisher, APEX
Teljes körű adatbázis audit log kezelés, azonban alkalmazás- és rendszerszintet nem támogat
www.starschema.net
ThreatMiner
Adattárház és adatbányászat Oracle RDBMS Orace Data Mining option Oracle Application Express, BIEE riportok
Jellemzők Legtöbb informatikai rendszer támogatott Irányított tanulás (false positive feedback) Compliance riportok Audit Vault-tal integrálható
• OAV adat és más rendszer együtt elemezhető
www.starschema.net
ThreatMiner architektúra
www.starschema.net
Összefoglalás
Logokat elemezni nem csak hasznos, de kötelező is
Az egyszerű elemzés korlátos és erőforrás igényes
A log mining egyszerűsíti a logok elemzését
Vannak rá kész megoldások
www.starschema.net
