SURESEC: Entegre Güvenlik ve Ağ Yönetimi Sistemi

Transkript

1 Suresec ANET 2014

2 SIEM Korelasyon Ağ Yönetimi Performans Yönetimi Uygulama Yönetimi Log Analizi Dijital İmza Değişmezlik Garantisi Ajansız Yönetim SURESEC: Entegre Güvenlik ve Ağ Yönetimi Sistemi Suresec bütünleşik bir güvenlik ve ağ yönetim sistemidir. Güvenlik Yönetimi ile Ağ yönetimi özelliklerinin bir arada bulunmasının temel avantajları: Tek bir ürünle hem güvenlik hem de ağ yönetimini yapılabilir Yönetim karmaşıklığı giderilir Entegre Raporlar Alınabilir o Örnek: X sunucusuna RDP ile login olmayı deneyen Y IP sine sahip kullanıcı başarısız olunduğu zaman dilimi içerisinde X sunucusunda çalışan servisler ve uygulamalar, X sunucusunun CPU, RAM durumu bilgilerini içeren rapor oluşturabilirsiniz Entegre korelasyon kuralları yazılabilir Trend Analizi için güvenlik ve performans verileri birlikte değerlendirilebilir Ortak bir yönetim ortamı eğitim ihtiyacını azaltır Tek tip ilke uygulamalarını mümkün kılar ve mevcut yazılımlarınızdan, çalışanlarınızdan ve en önemlisi mevcut BT yönetim süreçlerinizden yararlanmanıza imkân sağlayarak bakım işlerini kolaylaştırır. Suresec ile Şirket Bilgileriniz Dışarıya sızdırılıyor mu? Kimler bu işlemleri yapıyor ya da teşebbüste bulunuyor? Mesai saatleri dışında kimler kritik sunuculara LogOn oldu? Kim LogOn Olmaya Çalıştı ve Başarısız oldu? Kimler ihale,muhasebe,sözleşme,.. vs gibi kritik dokümanlara ulaştı? Sisteme erişen kullanıcı olay kayıtlarını sildi.(kim ne zaman Sildi?) Saldırgan hangi sistemlere erişim yaptı? Saldırgan nereden sisteme erişti? Sadece belirli bir kullanıcı grubu tarafında bilinen bir bölgeye erişilmeye çalışıldı. Kim erişmeye çalıştı? Kimler hatalı trafik oluşturarak networku kilitliyor? En çok indirme (download) yapan Kullanıcılar, Makineler Kimler? Şirket hesabına gelen maillerin kopyasını şahsi hesabına gönderenler var mı? Varsa kim?

3 SYSLOG WMI SNMP SNMP TRAP Telnet SSH VMWARE API HTTP PING TCP UDP SMTP POP3 Network üzerinde kaç tane başarısız oturum açma girişimi meydana geldi? Kimler bu işlemleri gerçekleştirdi? Network üzerinde hangi hesaplar silindi ya da pasif oldu? Bu işlemleri kim ne zaman gerçekleştirdi? En çok girilen siteler hangileri? Ağ yeni bir cihaz dahil oldu mu? Bu IP adresinin o anda kullandığı kullanıcı kim? Network üzerinde hangi hesaplar oluşturuldu? Kim bu hesapları oluşturdu? Ne zaman bu işlem gerçekleşti? Network üzerinde işlemler kaç adet kritik olay oluşturdu? Bu kritik olaylara kimler neden oldu? Network üzerinde kaç adet hata olayı meydana geldi? Bu hata olaylarına neden olanlar kim? Taşınabilir bellek kullananlar kimler? Kim hangi uygulamayı çalıştırdı? Kim hangi uygulamayı kapattı? Kim belirli dokümanı sildi? Kim SQL portundan sisteme erişim yaptı? En çok hangi makine CPU,bellek ve disk kullanıyor? HTTP, SMTP,IMAP, FTP, DNS, LDAP, HTTPS gibi servisler ayakta mı? Dell Power Edge, Compaq Proliant, HP-UX ve IBM AIX sunucularda kritik parametrelerinde önemli değişimler var mı? VMware ESX sunucuları ayakta mı? Windows servislerini ayakta mı? Servis cevap süresi düşüşleri oluyor mu? Sunucuların sabit disk boş alan ları hangi hızla doluyor? JDBC FTP TEXT IMAP Bir Sunucunun CPU, Hafıza, Proses vb grafiklerini Bir anahtarlama cihazının üzerindeki portların oluşturduğu ağ trafiğini oluşturup izleyebilirsiniz (hem fiziksel port hem de vlan bazında) Hangi aktif ağ cihazı çalışıyor hangisi çalışmıyor anlık olarak listeleyebilirsiniz. Active Directory performansı istediğim gibi mi? MS-Exchange: Bağlantı istatistikleri, mesaj istatistikleri, MS-SQL: Cache Hit Oranı, IO Page Reads,Active Locks,Transaction Log alanı ve diğer önemli parametreleri izleyebilme. Oracle: Table space allocated, Data file Disk writes, Cache Invalidations, Table scan Blocks, Number of User commits gibi parametreleri izleyebilme Gerçek zamanlı performans grafikleri Active Directory, Exchange & MS-SQL, Interface trafiği, kullanımı ve hata

4 Kolay Kullanım WEB Arayüzü Çok Kullanıcı Desteği AD Entegrasyonu Ajansız Log Toplama Ajansız Ağ Yönetimi istatistikleri için özelleştirilebilen ve istenen yerleşimlerde düzenlenebilen arayüz görünümler CPU,bellek ve disk kullanımı istatistikleri Erişilebilirlik ve yanıt süresi istatistikleri Sunucular ve network cihazları için SLA raporları Günlük,haftalık,aylık veya istenilen zaman aralıklarında raporlandırabilme. Proaktif bir şekilde, eşik değerler tanımlayarak performans değerlerini izleyebilme Raporları HTML,PDF,CSV formatlarında alabilme Raporları istenilen zaman aralıklarında IT yöneticilerine olarak gönderebilme gibi raporları alır veya otomatik uyarılar ürettirebilirsiniz. Suresec 400 e yakın hazır rapor şablonu ile gelmektedir. KORELASYON Dünyada ticari ürün olarak Şablon Temelli Korelasyon Kuralları Sihirbaz Temelli (Wizard) Korelasyon Kuralı Oluşturma Script veya JAVA dili kullanarak Korelasyon Kuralı Oluşturma -Uzman Modu (Expert Mode) Seçeneklerini birlikte destekleyen tek üründür. Bu özellikleri kullanarak aşağıdaki gibi kurallar oluşturulabilir: Windows makinelere brute force login ataklarını tespit etmek Veri tabanına varsayılan kullanıcı isimleri ile giriş denemelerin tespiti. 445 nolu port ataklarını tespit etmek Saniyede 15 tane paketin drop edildiği IP yi bildir. İşe gelmeyen kullanıcının hesabı ile işlem yapıldıysa uyar Saniyede 1000 den fazla paket üretilen ve kaynağı ÇİN gözüken ve şirket ip adreslerinin aynı portuna ulaşmak isteyen olursa uyar Saniyede 5 den fazla aynı makineye login olmayı deneyip de başarısız olan IP yi bildir 1 dakika içerisinde aynı kaynaktan 15 den fazla deny/reject/drop olursa uyar Seçilen zaman aralığında kimler çevrimiçiydi? Seçilen zaman aralığında network üzerinde kaç tane başarısız oturum açma girişimi meydana geldi? Seçilen zaman aralıklarında hangi kullanıcılar şifresini başarıyla değiştirdi? Seçilen zaman aralığında hangi kullanıcılar şifresini değiştirmek istedi fakat başarılı olamadı? Seçilen zaman aralığında hangi hesaplar silindi ya da görünmez oldu?

5 Hangi hesaplar etki alanı yönetici grubuna eklendi? Firewalls: Fortinate,Juniper/NetScreen, Cisco, Checkpoint, Watchguard, Drytek, Zyxel, Astaro, BlueCoat, Clavister, CyberGuard, D-Link, FreeBSD, IPCop, Kerio, Lucent, McAfee, NetApp, NetASQ, NetFilter, Netopia, Snort, SonicWALL, Palo Alto, MS TMG, Cyberoam,Gateprotect, Barracuda Proxy-servers: Microsoft ISA, NetCache, Squid, MS TMG,Trend Micro, Mcafee IDS/IPS: Checkpoint, Juniper IDP, Cisco, UTM devices and others VPN: Cisco ASA VPN Concentrator, Juniper SSL VPN, Microsoft PPTP/L2TP, SonicWALL Aventail Operating Systems: Microsoft Windows Server, 2000/2003/2008/2012, Microsoft Windows, XP, Vista, 7, 8,RedHat Linux, SuSE Linux, IBM AIX, Hewlett-Packard HP-UX, SunSolaris, VMware. Applications: WebLogic, IBM WebSphere, SNARE for Windows, Apache (Syslog),IIS - Web server, FTP server and MS SQL server, DHCP - Windows and Linux and Oracle. Text-Based Log: Csv/W3C/Txt/Custom Mail Servers: Lotus Notes, MS IIS SMTP, MS Exchange, Qmail, Postfix,Zimbra Web Filter: Barracuda Spam Firewall, McAfee Web Gateway, Microsoft ISA Server, Squid, WebSense MailFilter, WebSense WebFilter Virtualization: VMWare ESX, ESXi, vsphere, vcenter Web Server: Apache Webserver, Microsoft IIS for Windows 2000, 2003, 2008 Application Monitors : Microsoft Exchange, Microsoft IIS, Microsoft SQL Server, MySQL, Oracle, Tomcat, FTP, HTTP, URL, Port. Network Monitors: Cisco & Other Network Devices, DHCP, SNMP Devices, SNMP Trap, HP, Avaya, Dell. Infrastructure: Active Directory, Dell OpenManage,HP Systems Insight Manager,IBM Director Seçilen zaman aralığında hangi kullanıcılar güvenlik hesap logunu temizledi? Seçilen zaman aralığında kaç adet kullanıcı sistem saatini değiştirdi? Seçilen zaman aralığında işlemler kaç adet kritik olay yarattı? Seçilen zaman aralığında kaç adet hata olayı meydana geldi? Seçilen zaman aralığında uyarıları tetikleyen olaylar neydi? Taşınabilir bellek kullananlar kimler? Kim ortak güvenlik duvarını aşabilmek için ek network arayüzü kurdu? Kim hangi uygulamayı çalıştırdı? Kim belirli dokümana erişebildi? Kim belirli dokümanı sildi? Birisi şifreleri ele geçirmek için casus program kullanıyor mu? Hangi bilgisayarlara belirli güvenlik paketleri yüklenmemiş? Hangi bilgisayarlara modem yüklenmiş? Kurum yapısında herhangi bir kablosuz ulaşım noktası var mı? Kurum networkünde izinsiz bir DHCP sunucu var mı? Kim hangi ekran görüntüsünü ele geçirdi? 5 dakika içerisinde aynı kaynaktan 3 den fazla IPS logu gelirse uyar 5 dakika içerisinde aynı kaynaktan 3 den fazla Virus logu gelirse uyar 1 dakika içerisinde aynı kaynaktan farklı 50 veya daha fazla farklı ip ye trafik olursa uyar Yeni bir kullanıcı oluşturulur ve bu oluşturulan kullanıcı ile erişim yapılmaya çalışılıp başarısız olunursa uyar Aynı kullanıcıdan 3 den fazla başarısız erişim olup sonrasında başarılı erişim olursa bu brüte force atack olasılığıdır ve uyar Administrators grubuna kullanıcı eklenirse uyar Aynı kullanıcı ile 1 dakikada 5 den fazla başarısız erişim olursa uyar(kullanıcı bilgileri ile birlikte) Aynı kullanıcı 60 dakikada 50 den fazla sistemlere login olursa uyar(kullanıcı bilgileri ile birlikte) Aynı kaynak IP den 3 veya daha fazla başarısız erişim ve hemen ardından başarılı erişim olursa uyar. Web sunucuya cgi, asp, aspx, jar, php, exe, com, cmd, sh, bat dosyaları uzak lokasyondna işletilmek üzere gönderilirse uyar İstenmeyen uygulamalar (Teamviewer, LogmeIn, Nmap, Nessus) çalıştırıldığında uyar Spam yapan kullanıcıyı tepit et.(saatte 60 den fazla mail gönderen kullanıcıyı tespit et) Spam yapılan kullanıcıyı tepit et.(saatte 25 den fazla mail alan kullanıcıyı tespit et) Gözetlenen log kaynağı son 1 saat içerisinde log göndermezse uyar Mesai saatleri dışında sunuculara ulaşan olursa uyar Eğer 1 dakika içerisinde 10 adet deny veya kullanıcı adı olmayan başarılı login loğu gelirse uyar Seçilen zaman aralığında kimler çevrimiçiydi? Seçilen zaman aralığında network üzerinde kaç tane başarısız oturum açma girişimi meydana geldi? Seçilen zaman aralıklarında hangi kullanıcılar şifresini başarıyla değiştirdi? Seçilen zaman aralığında hangi kullanıcılar şifresini değiştirmek istedi fakat başarılı olamadı? Seçilen zaman aralığında hangi hesaplar silindi ya da görünmez oldu? Hangi hesaplar etki alanı yönetici grubuna eklendi? Seçilen zaman aralığında hangi kullanıcılar güvenlik hesap logunu temizledi? Seçilen zaman aralığında kaç adet kullanıcı sistem saatini değiştirdi? Seçilen zaman aralığında işlemler kaç adet kritik olay yarattı? Seçilen zaman aralığında kaç adet hata olayı meydana geldi? Seçilen zaman aralığında uyarıları tetikleyen olaylar neydi? Taşınabilir bellek kullananlar kimler? Kim ortak güvenlik duvarını aşabilmek için ek network arayüzü kurdu? Kim hangi uygulamayı çalıştırdı? Kim belirli dokümana erişebildi?

6 Kim belirli dokümanı sildi? Birisi şifreleri ele geçirmek için casus program kullanıyor mu? PERFORMANS YÖNETİMİ Suresec ile yönlendiriciler, anahtarlama cihazları, sunucular ve SNMP protokolü çalıştırılabilir tüm cihazlardan rapor, istatistiki bilgi ve gerçek zamanlı izleme elde edilebilmektedir. Ağ Cihazlarının Yönetimi esnasında yine bu cihazlara bağlı olarak izleme yaparken ağ üzerinde yer alan tüm cihazların Hazıfa (CPU), Bellek Kullanımı (Memory), Disk uygunluğunu gerçek zamanlı olarak gözlemlemeyebilmektedir. Suresec SNMP, SSH, Telnet, WMI ve uygulamalara özel protokoller kullanarak sunucu, ağ cihazları ve uygulamalar için performans yönetimi de yapabilir. Windows Management Instrumentation (WMI), Windows işletim sistemlerinde veri ve operasyon yapısını yönetmemizi sağlıyor. WMI sayesinde donanım ve yazılım sistemimiz hakkında bütün bilgileri elde edebilir. Mesela : HDD kullanım oranlarını, CPU kullanım oranlarını, hafiza kullanımı vb.. Ayrıca WebLogic, WebSphere gibi uygulamaları da kendi protokolleri üzerinden kontrol edebilir. Suresec performans yönetimi ile: X sunucusunda CPU kullanımı %70 i geçtiği sırada o sunucuya login olan(lar) kim(ler)? Son 7 aylık CPU kullanım trendim nedir? Hangi Sunucuları güncelleme zamanı geldi? Sanal sunucularımın performans raporları, X sunucusunda CPU kullanımı %70 i geçtiği sırada o sunucuda çalışan uygulamalar hangileri? En önemli N alarmları nelerdir?( Ağ arızalarının hızlı şekilde sorgulanmasını sağlamak için) Top N performans kullananlar hangileridir? ( CPU ve bellek kullanımı gibi performans verileri) Sınıflandırılmış istatistikler: ağ kaynaklarıyla ilgili istatistikleri. Gibi raporlar alabilirsiniz. Böylece Veri iletişim altyapısının analizi ve değerlendirilmesi Veri iletişim altyapılarının projelendirilmesi, kurulması, yerinden veya uzaktan yönetilmesi Mevcut iletişim sistemlerinin iyileştirilmesi ve yeni sistemlere entegre edilmesi Telekom takip ve danışmanlık hizmetleri Kapasite planlama ve performans analizleri Satın alma ya da bakım hizmetlerine yönelik ihale ve şartname hazırlıklarına destek verilmesi İzleme, hata yönetim, raporlama ve bakım hizmetlerini yönetebilirsiniz.

7 PROAKTİF YÖNETİM Tüm ortamlardan alınan verilerin birleştirilerek anlaşılabilir hale getirilmesi ve gerekli şart ve durumlarda alarm üretebilmesi önemlidir. Alarm Örnekleri: X sunucusunda CPU kullanımı %N i aşarsa uyar Z Serverindaki Y servisi durursa uyar Storage daki boş disk oranı %N ı aşarsa uyar VM sprawl durumu oluşursa uyar SLA aşımı olursa uyar Bant kullanımı %N i geçerse uyar gibi sınırsız sayıda alarmlar ve uyarılar oluşturulabilir. SANAL ALTYAPI VE SERVER YÖNETİMİ Sanal makineler sadece manipüle edilecek objeler değil aynı zamanda gerçek iş yüklerine sahip bilgisayarlardır. Sanal makineleri de fiziksel sistemler gibi yönetmek zorunludur. Çok kapsamlı entegre yönetim araçlarından oluşan SURESEC kullanarak karmaşıklıkları en aza indirebilir ve işlerinizi kolaylaştırabilirsiniz. VMWARE API kullanılarak kritik parametreler takip edilip, trend analizleri yapılabilir. VMWARE ile ilgili olarak: Ajansız ve autodiscovery kullanarak yeni eklenen sanal makineleri otomatik bulur ve yönetmeye başlar Yüzlerce parametreyi otomatik olarak takip eder. Percent Wait, Memory Zero, Memory Balloon, Memory Unreserved, Memory Shared vs..

8 o 50/index.jsp?topic=%2Fcom.vmware.wssdk.apiref.doc_50%2Fmemory_counters.html Akıllı alarm yönetimi sayesinde yanlış alarm üretmez. ENTEGRE AĞ YÖNETİMİ Suresec bilinen ağ yönetim yazılımlarından farklı olarak sistemleri yönetirken Topolojik bağımlılık İşletim Bağımlılığı Mantıksal Bağımlılık Durumlarını da dikkate alarak ağ yönetimi operasyonlarını yönetmenizi sağlar. Mesela WEB tabanlı bir ERP hizmetinin SLA değerlerini ERP uygulamasının kendisi, kullandığı veritabanı, kendisinin ve kompenetlerinin çalıştığı fiziksel veya sanal sunucular, bu sunucuların işletim sistemleri ve LAN ve WAN tarafında kullandığı switchler ve internet çıkışının sağlandığı router ile ilişkisini bilip ona göre yönetim yapar. Dolayısı ile router ın down olması durumunda internet üzerinden ERP kullananların ERP hizmetini kullanamayacağını bilir hem SLA hem de alarm yönetimini buna göre otomatik olarak şekillendirir.

9 Referanslarımızdan Bazıları

10 İletişim Bilgileri Doğu Mah. Bilge sok. No=2 Kat= 5 Daire= 4 Pendik/İstanbul T: F: info@anetyazilim.com info@anetyazilim.com.tr