surelog
DESCRIPTION
SureLog SIEM : Korelasyon, Log Yönetimi, Compliancy yönetimiTRANSCRIPT
SureLog Log Yönetimi & SIEM
Anet Yazılım
SURELOG
SureLog Log Yönetimi & SIEM ürünümüz tamamen yeniden tasarlandı. Yeni özelikler
1. Görsel grafik analiz platformu
2. Desteklediği sistemler:
3Com Airlive Anchiva Apache Applied Identity ARKOON Network Security Astaro Aventail AWStats Barracuda BlueCoat Check Point Cimcor Cisco Systems Clavister CyberGuard Cyberoam Dansguardian D-Link DP Firewalls Drytek Drytek DNS
Electronic Consultants Lenovo Security Technologies Linux Linux DHCP Linux DNS Lucent Fortinet Fortimail Fortinet DHCP FreeBSD Funkwerk Enterprise Communications Gateprotect Global Technologies Ingate Inktomi IPCop Ironport Juniper Networks Juniper Networks DHCP Kerio
Palo Alto Pfsense Pfsense DHCP Postfix Recourse Technologies McAfee UTM McAffe MailGateway Metatrader Microsoft ISA&TMG Microsoft Windows Event Log Microsoft DHCP Microsoft Windows DNS Microsoft Exchange Microsoft IIS Microsoft IIS SMTP NetApp NetASQ NetFilter Netopia Network-1
Opzoon Oracle Ruijie Securepoint Snort SonicWALL SonicWALL DHCP Squid Project St. Bernard Software Stonesoft Sun Microsystems Trendmicro Web Filter Unix Untangle Vmware Vyatta WatchGuard Websense Websense Mail Gateway Zimbra Zywall
3. Trafik Raporları.
4. Kişiselleştirilebilir sistem ara yüzü: menüleri ve raporları.
5. Compliance raporları. ISO 27001, SOX, HIPAA, PCI, GLBA rapor şablonlarını destekler.
6. Dinamik raporlar oluşturma ve zamanlanmış raporlar isteğe bağlı tasarlanabilir.
7. Toplam sayfa sayısı, toplam kayıt sayısı, sorgulama süresi gibi parametreleri kullanıcıya
raporlayabilen istatistik modülü
8. Google benzeri arama motoru.
9. Performans ve Protokol Analizi Modülü
Traffic Reports
Protocol Usage Reports
Web Usage Reports
Mail Usage Reports
FTP Usage Reports
Telnet Usage Reports
Streaming & Chat Reports
Event Summary Reports
VPN Reports
Firewall Rules Reports
Inbound & Outbound Traffic
Intranet Reports
Internet Reports
Virus Reports
Attack Reports
Spam Reports
Protocol Trend Reports
Traffic Trend Reports
Event Trend Reports
URL Report
10. Compliance Raporları:
ISO 27001, SOX, HIPAA, PCI, GLBA hazır rapor şablonları ile kolay raporlama yapabilirsiniz
Örnek ISO 27001:2013 Rapor Şablonları:
Object Access :
Controls A 12.4.1,12.4.2
Object Accessed
Object Created
System Events :
Control A 12.4.2
System Logs
Audit Logs Cleared
Object Modified
Object Deleted
Object Handle
Logon :
Control A 12.4.3
Successful User Logons
Successful User Logoffs
Unsuccessful User Logons
Terminal Service Session
Policy Changes :
Controls A 12.4.1,12.4.2,12.4.3 & 9.2.5
User Policy Changes
Domain Policy Changes
Audit Policy Changes
User Access :
Controls A.12.4.1,12.4.3,A 9.4.2,9.2.1
Individual User Action
Account Management :
Controls A.12.4.1,12.4.3,A 9.4.2,9.2.1
User Account Changes
Computer Account Changes
User Group Changes
11. Windows Event Log Raporları :
Korelasyon
Bağımsız iki olay arasındaki ilişkinin yönünü ve gücünü belirtir. İki olay birbiri ile ne kadar alakalı /
alakasız
Toplanan kayıtların belli senaryolar eşliğinde incelenmesi, birbirini tamamlayan veya birbirine katkı
sağlayan olay kayıtlarının arasında bir ilişki kurulmasıdır. Saldırı senaryolarının oluşturulması gereklidir.
Saldırının son safhasına kadar yol üzerinde kayıt üretmesi beklenen sistem bileşenleri belirlenip olaylar
mantıksal olarak ilişkilendirilmelidir.
Olay yönetimi günümüz dünyasında iş yapmanın getirdiği yüksek seviye risklerin yönetilebilmesi için
gerekli olan depolama, gerçek zamanlı gözleme, tarihsel analiz ve otomatik cevap gibi mekanizmaları
gerektirmektedir. SURELOG gerçek zamanlı olay yönetimini SURELOG korelasyon modülü ile sizlere
sağlıyor.
SURELOG’nın gelişmiş gerçek zamanlı korelasyon kabiliyeti, herhangi bir olay için bu olayla ilgili olarak
kim, ne, nerede, ne zaman, neden sorularının ilgisini ve riskler üstündeki etkisinin ortaya çıkmasını sağlar.
SureLog yeni kural motoru ve CEP motoru ile gücüne güçkatıyor!!!
ANET Yazılım Güvenlik Analizi ve Log Yönetimi ürünü SureLogya kural motoru ekledi. Kural motoru
JSR94 Rule Engine API destekleyen uluslararası standartlarda bir motordur.
Kural Dili
Zaman ile değişebilecek ihtiyaçlara cevap verir. Her zaman ne yapılacağını söyler, nasıl yapılacağını değil.
Kural Mimarisi
SureLogçalışmaya başladığında SureLogkural motoru üzerindeki kurallar "Production Memory"'ye
aktarılır. "Working Memory" üzerinde bulunan sistem nesneleri (unsurlar) da "Pattern Matcher"'a aktarılır.
Burada hangi kuralın çalışacağı belirlenir. Çalışacak kurallar belirlendikten sonra "Agenda" ile kuralların
çalışma sırası belirlenir.
SureLogmevcut alarm yönetimi özellikleri kullanıcıya hazır şablonlar sunuyordu zaten. Mevcut alarm
şablonları:
A Process has Exited [Windows]
Account Database Change [Windows]
Active Directory is started [Windows]
Active Directory is stopped [Windows]
An ISA Service failed to start [Windows]
Application installed successfully [Windows]
Application uninstalled [Windows]
Audit Logs Cleared [Windows]
Audit Policy Changed [Windows]
Bad Disk sector detected [Windows]
Cache initialization fail for ISA [Windows]
Chasis Intrusion [Windows]
Computer Account Changed [Windows]
Computer Account Created [Windows]
Computer Account Deleted [Windows]
Disk restriction in place for ISA Server [Windows]
DNS Server Started [Windows]
DNS Server Stopped [Windows]
DNS Server timed out [Windows]
DNS Server updated [Windows]
DNS Zone shutdown [Windows]
Domain Policy Change [Windows]
EventLog Service Stopped [Windows]
Failed Logins [Unix]
Insufficient Memory Available [Windows]
Memory Dump saved [Windows]
Network Adapter Connected [Windows]
Network Adapter Disconnected [Windows]
New Process Created [Windows]
Norman Antivirus found infected file [Windows]
NTDS database engine is started [Windows]
NTDS database engine is Stopped [Windows]
NTDS defragmentation is complete [Windows]
NTDS defragmentation is started [Windows]
Object Deletion Failure [Windows]
OS is shutting down [Windows]
OS is starting up [Windows]
Printer Added [Windows]
Printer Created [Windows]
Replacing System file attempted [Windows]
Starting File Replication Service [Windows]
Successful CRON Jobs [Unix]
Successful FTP Log-offs [Unix]
Successful FTP Log-ons [Unix]
Successful Password Resets [Windows]
Successful User Log-ons [Unix]
Successful User Logoffs [Windows]
Successful User Logons [Windows]
System Resources Exhausted [Windows]
Unsuccessful Login Attempts [Windows]
User Account Disabled [Windows]
Windows install operation [Windows]
Yukarıdaki hazır şablonlar dışında ayrıca kullanıcıya kelime bazlı alarmlar oluşturma imkanı sunulmakta
idi. Bu yeni kural motoru ile hem korelasyon kuralları hem alarmlar oluşturabilmek için yeni ve daha esnek
ve güçlü bir altyapı sunuluyor. Kullanıcının yapabilirliklerinin önündeki sınırlar tamamen kaldırılmış
oluyor.Mesela
a) Kullanıcı normalize edilmiş logları istediği yere kopyalayabilir,taşıyabilir,silebilir vs..
b) Karmaşık alarmlar oluşturabilir.
c) Loglar arasında korelasyon oluşturabilir.
d) Gelen loga göre yeni kayıtlar oluşturabilir
e) Vs…
SURELOGKorelasyon modülü özellikleri:
Script ve JAVA dillerini desteklemektedir
JSR94
Çok esnek kural oluşturma yapısı
Rule Base
Complex Event Processing(CEP)
Forward Chaning
Backward Chaining
Kural oluşturma ve kural yazma yöntemleri uluslararası formatlarda olup yazım kuralları ve
kural geliştirme yöntemleri uluslararası standartlardır.Dolayısı ile hem destek hem de öğrenilen
bilginin global olması noktasında da avantaj sunur.
Tamamen ulaslararası standartlarda bir kural Veritabanı
JAVA API
Kural Örnekleri 1 dakika içerisinde aynı kaynaktan 15 den fazla deny/reject/drop olursa uyar
5 dakika içerisinde aynı kaynaktan 3 den fazla IPS logu gelirse uyar
5 dakika içerisinde aynı kaynaktan 3 den fazla Virus logu gelirse uyar
1 dakika içerisinde aynı kaynaktan farklı 50 veya daha fazla farklı ip ye trafik olursa uyar
Yeni bir kullanıcı oluşturulur ve bu oluşturulan kullanıcı ile erişim yapılmaya çalışılıp başarısız olunursa uyar
Aynı kullanıcıdan 3 den fazla başarısız erişim olup sonrasında başarılı erişim olursa bu brüte force atack
olasılığıdır ve uyar
Administrators grubuna kullanıcı eklenirse uyar
Aynı kullanıcı ile 1 dakikada 5 den fazla başarısız erişim olursa uyar(Kullanıcı bilgileri ile birlikte)
Aynı kullanıcı 60 dakikada 50 den fazla sistemlere login olursa uyar(Kullanıcı bilgileri ile birlikte)
Aynı kaynak IP den 3 veya daha fazla başarısız erişim ve hemen ardından başarılı erişim olursa uyar.
Web sunucuya cgi, asp, aspx, jar, php, exe, com, cmd, sh, bat dosyaları uzak lokasyondna işletilmek üzere
gönderilirse uyar
İstenmeyen uygulamalar (Teamviewer, LogmeIn, Nmap, Nessus) çalıştırıldığında uyar
Spam yapan kullanıcıyı tepit et.(saatte 60 den fazla mail gönderen kullanıcıyı tespit et)
Spam yapılan kullanıcıyı tepit et.(saatte 25 den fazla mail alan kullanıcıyı tespit et)
Gözetlenen log kaynağı son 1 saat içerisinde log göndermezse uyar
Mesai saatleri dışında sunuculara ulaşan olursa uyar
W32.Blaster Worm: Eğer 1 dakika içerisinde 10 adet deny veya kullanıcı adı olmayan başarılı login loğu
gelirse uyar
Genişletilmiş Kurallar ve Senaryolar Örnekleri
Hedef:445 nolu port ataklarını tespit etmek
• Gereksiz yanlış atak loglarından kurtulmak isteniyor
• 5 dakikalık sürede an az 1 düzine atak logu gelmesini isteniyor
• 1 saatlik periyodda en az 100 atak logu
• 4 saatlik bir periyodda 200 atak logu isteniyor
Kural:
Hedef:Windows makinelere brute force login ataklarının tespit etmek
60 Saniye boyunca Windows makinelere login denemesi yapılmış ve fail etmiş iplerin listesinin
bulunması ve
Bu kuralda firewall ve/veya gateway den gelen trafik logları ile Windows event loglarının
korelasyonunun yapılması isteniyor.
Hedef: Ağdaki kötü niyetli yazılımlarının tespiti.
– Bilinen: yazılım insandan çok daha hızlı parola denemesi gerçekleştirir
– Senaryo:
• Kimlik doğrulama denemesi saniyede 1 den fazla gerçekleşiyorsa (1)
• (1) durumu art arda 5 defa gerçekleşiyorsa
• Bilgilendir/ müdahale et
– Tek kaynaktan alınan kayıtların sayısı ve gerçekleşme zamanı ilişkilendirilmiştir.
Hedef: Veri tabanına varsayılan kullanıcı isimleri ile giriş denemelerin tespiti.
– Saldırgan internetten kurumsal IP uzayında tarama yaparsa (1)
• IDS veya güvenlik duvarından alınan kayıtlar
– (1) i gerçekleştiren açık portları kullanarak güvenlik duvarından geçerse
• Güvenlik duvarından alınan ACCEPT kaydı
– (1) i gerçekleştiren veritabanına belli kullanıcı isimleri ile giriş yapmaya
çalışırsa
• Veri tabanından alınan LOGON ATTEMPT kaydı
– Bilgilendir/ müdahale et
• Birden fazla kaynaktan alınan kayıtlarda aktör,eylem ve zaman bilgileri ilişkilendirilmiştir
İletişim Bilgileri
Doğu Mah. Bilge sok. No=2
Kat= 5 Daire= 4
Pendik/İstanbul
Tel : 0216 3540580
0216 3540581
Fax : 0216 3540580
[email protected] www.anetyazilim.com
www.anetyazilim.com.tr