SureLog Log Yönetimi & SIEM

Anet Yazılım

SURELOG

SureLog Log Yönetimi & SIEM ürünümüz tamamen yeniden tasarlandı. Yeni özelikler

1. Görsel grafik analiz platformu

2. Desteklediği sistemler:

3Com Airlive Anchiva Apache Applied Identity ARKOON Network Security Astaro Aventail AWStats Barracuda BlueCoat Check Point Cimcor Cisco Systems Clavister CyberGuard Cyberoam Dansguardian D-Link DP Firewalls Drytek Drytek DNS

Electronic Consultants Lenovo Security Technologies Linux Linux DHCP Linux DNS Lucent Fortinet Fortimail Fortinet DHCP FreeBSD Funkwerk Enterprise Communications Gateprotect Global Technologies Ingate Inktomi IPCop Ironport Juniper Networks Juniper Networks DHCP Kerio

Palo Alto Pfsense Pfsense DHCP Postfix Recourse Technologies McAfee UTM McAffe MailGateway Metatrader Microsoft ISA&TMG Microsoft Windows Event Log Microsoft DHCP Microsoft Windows DNS Microsoft Exchange Microsoft IIS Microsoft IIS SMTP NetApp NetASQ NetFilter Netopia Network-1

Opzoon Oracle Ruijie Securepoint Snort SonicWALL SonicWALL DHCP Squid Project St. Bernard Software Stonesoft Sun Microsystems Trendmicro Web Filter Unix Untangle Vmware Vyatta WatchGuard Websense Websense Mail Gateway Zimbra Zywall

3. Trafik Raporları.

4. Kişiselleştirilebilir sistem ara yüzü: menüleri ve raporları.

5. Compliance raporları. ISO 27001, SOX, HIPAA, PCI, GLBA rapor şablonlarını destekler.

6. Dinamik raporlar oluşturma ve zamanlanmış raporlar isteğe bağlı tasarlanabilir.

7. Toplam sayfa sayısı, toplam kayıt sayısı, sorgulama süresi gibi parametreleri kullanıcıya

raporlayabilen istatistik modülü

8. Google benzeri arama motoru.

9. Performans ve Protokol Analizi Modülü

Traffic Reports

Protocol Usage Reports

Web Usage Reports

Mail Usage Reports

FTP Usage Reports

Telnet Usage Reports

Streaming & Chat Reports

Event Summary Reports

VPN Reports

Firewall Rules Reports

Inbound & Outbound Traffic

Intranet Reports

Internet Reports

Virus Reports

Attack Reports

Spam Reports

Protocol Trend Reports

Traffic Trend Reports

Event Trend Reports

URL Report

10. Compliance Raporları:

ISO 27001, SOX, HIPAA, PCI, GLBA hazır rapor şablonları ile kolay raporlama yapabilirsiniz

Örnek ISO 27001:2013 Rapor Şablonları:

Object Access :

Controls A 12.4.1,12.4.2

Object Accessed

Object Created

System Events :

Control A 12.4.2

System Logs

Audit Logs Cleared

Object Modified

Object Deleted

Object Handle

Logon :

Control A 12.4.3

Successful User Logons

Successful User Logoffs

Unsuccessful User Logons

Terminal Service Session

Policy Changes :

Controls A 12.4.1,12.4.2,12.4.3 & 9.2.5

User Policy Changes

Domain Policy Changes

Audit Policy Changes

User Access :

Controls A.12.4.1,12.4.3,A 9.4.2,9.2.1

Individual User Action

Account Management :

Controls A.12.4.1,12.4.3,A 9.4.2,9.2.1

User Account Changes

Computer Account Changes

User Group Changes

11. Windows Event Log Raporları :

Korelasyon

Bağımsız iki olay arasındaki ilişkinin yönünü ve gücünü belirtir. İki olay birbiri ile ne kadar alakalı /

alakasız

Toplanan kayıtların belli senaryolar eşliğinde incelenmesi, birbirini tamamlayan veya birbirine katkı

sağlayan olay kayıtlarının arasında bir ilişki kurulmasıdır. Saldırı senaryolarının oluşturulması gereklidir.

Saldırının son safhasına kadar yol üzerinde kayıt üretmesi beklenen sistem bileşenleri belirlenip olaylar

mantıksal olarak ilişkilendirilmelidir.

Olay yönetimi günümüz dünyasında iş yapmanın getirdiği yüksek seviye risklerin yönetilebilmesi için

gerekli olan depolama, gerçek zamanlı gözleme, tarihsel analiz ve otomatik cevap gibi mekanizmaları

gerektirmektedir. SURELOG gerçek zamanlı olay yönetimini SURELOG korelasyon modülü ile sizlere

sağlıyor.

SURELOG’nın gelişmiş gerçek zamanlı korelasyon kabiliyeti, herhangi bir olay için bu olayla ilgili olarak

kim, ne, nerede, ne zaman, neden sorularının ilgisini ve riskler üstündeki etkisinin ortaya çıkmasını sağlar.

SureLog yeni kural motoru ve CEP motoru ile gücüne güçkatıyor!!!

ANET Yazılım Güvenlik Analizi ve Log Yönetimi ürünü SureLogya kural motoru ekledi. Kural motoru

JSR94 Rule Engine API destekleyen uluslararası standartlarda bir motordur.

Kural Dili

Zaman ile değişebilecek ihtiyaçlara cevap verir. Her zaman ne yapılacağını söyler, nasıl yapılacağını değil.

Kural Mimarisi

SureLogçalışmaya başladığında SureLogkural motoru üzerindeki kurallar "Production Memory"'ye

aktarılır. "Working Memory" üzerinde bulunan sistem nesneleri (unsurlar) da "Pattern Matcher"'a aktarılır.

Burada hangi kuralın çalışacağı belirlenir. Çalışacak kurallar belirlendikten sonra "Agenda" ile kuralların

çalışma sırası belirlenir.

SureLogmevcut alarm yönetimi özellikleri kullanıcıya hazır şablonlar sunuyordu zaten. Mevcut alarm

şablonları:

A Process has Exited [Windows]

Account Database Change [Windows]

Active Directory is started [Windows]

Active Directory is stopped [Windows]

An ISA Service failed to start [Windows]

Application installed successfully [Windows]

Application uninstalled [Windows]

Audit Logs Cleared [Windows]

Audit Policy Changed [Windows]

Bad Disk sector detected [Windows]

Cache initialization fail for ISA [Windows]

Chasis Intrusion [Windows]

Computer Account Changed [Windows]

Computer Account Created [Windows]

Computer Account Deleted [Windows]

Disk restriction in place for ISA Server [Windows]

DNS Server Started [Windows]

DNS Server Stopped [Windows]

DNS Server timed out [Windows]

DNS Server updated [Windows]

DNS Zone shutdown [Windows]

Domain Policy Change [Windows]

EventLog Service Stopped [Windows]

Failed Logins [Unix]

Insufficient Memory Available [Windows]

Memory Dump saved [Windows]

Network Adapter Connected [Windows]

Network Adapter Disconnected [Windows]

New Process Created [Windows]

Norman Antivirus found infected file [Windows]

NTDS database engine is started [Windows]

NTDS database engine is Stopped [Windows]

NTDS defragmentation is complete [Windows]

NTDS defragmentation is started [Windows]

Object Deletion Failure [Windows]

OS is shutting down [Windows]

OS is starting up [Windows]

Printer Added [Windows]

Printer Created [Windows]

Replacing System file attempted [Windows]

Starting File Replication Service [Windows]

Successful CRON Jobs [Unix]

Successful FTP Log-offs [Unix]

Successful FTP Log-ons [Unix]

Successful Password Resets [Windows]

Successful User Log-ons [Unix]

Successful User Logoffs [Windows]

Successful User Logons [Windows]

System Resources Exhausted [Windows]

Unsuccessful Login Attempts [Windows]

User Account Disabled [Windows]

Windows install operation [Windows]

Yukarıdaki hazır şablonlar dışında ayrıca kullanıcıya kelime bazlı alarmlar oluşturma imkanı sunulmakta

idi. Bu yeni kural motoru ile hem korelasyon kuralları hem alarmlar oluşturabilmek için yeni ve daha esnek

ve güçlü bir altyapı sunuluyor. Kullanıcının yapabilirliklerinin önündeki sınırlar tamamen kaldırılmış

oluyor.Mesela

a) Kullanıcı normalize edilmiş logları istediği yere kopyalayabilir,taşıyabilir,silebilir vs..

b) Karmaşık alarmlar oluşturabilir.

c) Loglar arasında korelasyon oluşturabilir.

d) Gelen loga göre yeni kayıtlar oluşturabilir

e) Vs…

SURELOGKorelasyon modülü özellikleri:

Script ve JAVA dillerini desteklemektedir

JSR94

Çok esnek kural oluşturma yapısı

Rule Base

Complex Event Processing(CEP)

Forward Chaning

Backward Chaining

Kural oluşturma ve kural yazma yöntemleri uluslararası formatlarda olup yazım kuralları ve

kural geliştirme yöntemleri uluslararası standartlardır.Dolayısı ile hem destek hem de öğrenilen

bilginin global olması noktasında da avantaj sunur.

Tamamen ulaslararası standartlarda bir kural Veritabanı

JAVA API

Kural Örnekleri 1 dakika içerisinde aynı kaynaktan 15 den fazla deny/reject/drop olursa uyar

5 dakika içerisinde aynı kaynaktan 3 den fazla IPS logu gelirse uyar

5 dakika içerisinde aynı kaynaktan 3 den fazla Virus logu gelirse uyar

1 dakika içerisinde aynı kaynaktan farklı 50 veya daha fazla farklı ip ye trafik olursa uyar

Yeni bir kullanıcı oluşturulur ve bu oluşturulan kullanıcı ile erişim yapılmaya çalışılıp başarısız olunursa uyar

Aynı kullanıcıdan 3 den fazla başarısız erişim olup sonrasında başarılı erişim olursa bu brüte force atack

olasılığıdır ve uyar

Administrators grubuna kullanıcı eklenirse uyar

Aynı kullanıcı ile 1 dakikada 5 den fazla başarısız erişim olursa uyar(Kullanıcı bilgileri ile birlikte)

Aynı kullanıcı 60 dakikada 50 den fazla sistemlere login olursa uyar(Kullanıcı bilgileri ile birlikte)

Aynı kaynak IP den 3 veya daha fazla başarısız erişim ve hemen ardından başarılı erişim olursa uyar.

Web sunucuya cgi, asp, aspx, jar, php, exe, com, cmd, sh, bat dosyaları uzak lokasyondna işletilmek üzere

gönderilirse uyar

İstenmeyen uygulamalar (Teamviewer, LogmeIn, Nmap, Nessus) çalıştırıldığında uyar

Spam yapan kullanıcıyı tepit et.(saatte 60 den fazla mail gönderen kullanıcıyı tespit et)

Spam yapılan kullanıcıyı tepit et.(saatte 25 den fazla mail alan kullanıcıyı tespit et)

Gözetlenen log kaynağı son 1 saat içerisinde log göndermezse uyar

Mesai saatleri dışında sunuculara ulaşan olursa uyar

W32.Blaster Worm: Eğer 1 dakika içerisinde 10 adet deny veya kullanıcı adı olmayan başarılı login loğu

gelirse uyar

Genişletilmiş Kurallar ve Senaryolar Örnekleri

Hedef:445 nolu port ataklarını tespit etmek

• Gereksiz yanlış atak loglarından kurtulmak isteniyor

• 5 dakikalık sürede an az 1 düzine atak logu gelmesini isteniyor

• 1 saatlik periyodda en az 100 atak logu

• 4 saatlik bir periyodda 200 atak logu isteniyor

Kural:

Hedef:Windows makinelere brute force login ataklarının tespit etmek

60 Saniye boyunca Windows makinelere login denemesi yapılmış ve fail etmiş iplerin listesinin

bulunması ve

Bu kuralda firewall ve/veya gateway den gelen trafik logları ile Windows event loglarının

korelasyonunun yapılması isteniyor.

Hedef: Ağdaki kötü niyetli yazılımlarının tespiti.

– Bilinen: yazılım insandan çok daha hızlı parola denemesi gerçekleştirir

– Senaryo:

• Kimlik doğrulama denemesi saniyede 1 den fazla gerçekleşiyorsa (1)

• (1) durumu art arda 5 defa gerçekleşiyorsa

• Bilgilendir/ müdahale et

– Tek kaynaktan alınan kayıtların sayısı ve gerçekleşme zamanı ilişkilendirilmiştir.

Hedef: Veri tabanına varsayılan kullanıcı isimleri ile giriş denemelerin tespiti.

– Saldırgan internetten kurumsal IP uzayında tarama yaparsa (1)

• IDS veya güvenlik duvarından alınan kayıtlar

– (1) i gerçekleştiren açık portları kullanarak güvenlik duvarından geçerse

• Güvenlik duvarından alınan ACCEPT kaydı

– (1) i gerçekleştiren veritabanına belli kullanıcı isimleri ile giriş yapmaya

çalışırsa

• Veri tabanından alınan LOGON ATTEMPT kaydı

– Bilgilendir/ müdahale et

• Birden fazla kaynaktan alınan kayıtlarda aktör,eylem ve zaman bilgileri ilişkilendirilmiştir

İletişim Bilgileri

Doğu Mah. Bilge sok. No=2

Kat= 5 Daire= 4

Pendik/İstanbul

Tel : 0216 3540580

0216 3540581

Fax : 0216 3540580

info@anetyazilim.com

info@anetyazilim.com.tr www.anetyazilim.com

www.anetyazilim.com.tr