Infraskope Server. Murat Eraydın Karmasis

Transkript

1 Infraskope Server Murat Eraydın Karmasis

2 Manşet Haberler Log Yönetiminin Önemi

3 5651 Sayılı Yasa ve Yönetmelikler

4 Senaryo #1 Kullanıcı DHCP ile aldığ IP adresini izinde olan müdürünün IP adresi ile değiştirdi Kullanıcı adresini ziyaret etti Başbakan hakkında bir habere uygun olmayan bir yorum yazdı Kullanıcı IP adresini DHCP ye geri ayarladı Başbakanlık dava açtı Gazete.com.tr gelen ip adresini siz olarak bildirdi Savcılık sizden ilgili işlemi kimin yaptığını bildirmenizi istedi

5 Senaryo #2 Domain admin geçici bir kullanıcı oluşturdu Yeni kullanıcı ile oturum açtı Genel Müdür veya diğer üst düzey yöneticilerin makinasına erişti (C$) İstediği bilgiyi aldı/değiştirdi/sildi Oturum kapattı ve tekrar domain admin ile oturum açtı Logları temizledi

6 Senaryo #3 Bir kullanıcı hakkında soruşturma yapılıyor Kullanıcının geçtiğimiz ay içinde aşağıdaki işlemlerinin raporlanması istendi (savcı) Hangi bilgisayarlardan oturum açtığı USB diskine kopyaladığı dosyalar Yazdırdığı dokümanlar Attığı Epostalar Girdiği web siteleri

7 Bir bakışta Infraskope Gerçek zamanlı alarmlar ve saklama Windows Event Log SysLog, W3C Logs, Uygulama logları... Kullanıcı tanımlı kurallar Görsel alarmlar, SMS gönderme, e-posta, Parametrik alanların sorgulanabilmesi Kurumsal Yönetim Merkezde tek konsol Uzaktan yükleme/silme Kullanıcı / Yönetici tarafından durdurulamama Birçok uzak yönetim fonksiyonu Kurumsal Envanter Yazılım ve Donanım Lisans Uyumluluğu Yasak uygulamaların tesbiti Demirbaş takibi* Genişleyebilir ve Açık Mimari Mevcut uygulamalarınıza bilgi aktarma Standart ara birimler (Database, WebServices,...) Sensorler sayesinde diğer log kaynaklarının toplanması (SysLog, CEF, DHCP, MSN, vs)

8 Log Kaynakları İşletim Sistemleri Uygulama Logları Network Cihazları Firewall / Proxy IDS / IPS Database Windows 2000/XP/Vista IAS (VPN), DHCP SysLog ISA Server / WebSense / Juniper etc Exchange 2003 Proventia** SQL Server Windows Server 2000/2003/2008 IIS 6/7 (W3C) SNMP CISCO PIX / CheckPoint Exchange 2007 SNORT (via SysLog) Oracle UNIX / LINUX Türevleri* Apache (via SysLog) Labris / i-bekçi Exchange 2010 (Custom) NAS Cihazları (NETAPP) BlueCoat / Squid SendMail / Qmail ve benzer *NIX tabanlı sistemler Generic Web Sniffer* * Ajanlı ve ajansız

9 Kullanıcılardan Log Toplamanın Önemi İzlenmek istemeyen kullanıcılar IP adresi değiştirmek IM uygulamalarında şifreli trafik kullanmak Remote Control uygulamaları Log-Me-In, Hamachi, TeamViewer, Radmin, Password attack Kullanıcı insan kaynakları (veya genel müdürün) bilgisayarının şifresini kırmaya çalışıyor Network trafiğini izleyen uygulamalar Ethereal, WireShark, USB / DVDROM gibi cihazlarla gelen uygulamalar Yazıcı ile alınan belgeler

10 Kullanıcının İzlenmesi Infraskope Agent Kural tabanlı merkezi log toplama Sadece Windows tarafından loglananları değil! USB cihazların ve USB ye kopyalanan dosyaların takibi Yazıcı çıktı takibi* PrintScreen ve diğer uygulamalarla alınan görüntülerin takibi Kablosuz ağlara yapılan bağlantılar Kafe, havaalanı v.s. 3G modem bağlantılarının takibi Sniffer uygulamalarının takibi Uygulama yasaklama / raporlama Dosya adına göre MD5 hash e göre Sistem yöneticisi hesabı ile bile durdurulamama * Infraskope Print Audit ile

11 Infraskope Server Fiziksel veya sanal makine desteği Kalıcı ve EPS bağımsız lisanslama Şube sunucuları için ücretsiz «Staging Server» 2 soket (8 core) / 8 GB sunucu ile EPS veri işleme Scale-Up / Scale-Out kurulum senaryoları Cluster SQL Server desteği

12 Infraskope Server Alarm Yönetimi Haber verme hizmetleri (Notification) E-posta gönderme Güvenlik yöneticisine/grubuna Kullanıcının kendisine Kullanıcının müdürüne Pop-up (görsel) mesaj SMS gönderme Komut çalıştırma (Command Execution) Tüm olaylarda dinamik (oluşan olay hakkında) parametre yollayabilme «Kullanıcı yaratıldı» «admin tarafından stajyer kullanıcısı oluşturuldu»

13 Korelasyon Modülü (2011 Q4) Farklı olayların ilişkilendirilmesi Sekans tespiti Event X Event Y in 5 min Event Z missing(event W) Eksik olayların tespiti Her t sürede olması gereken bir olayın gerçekleşmemesi

14 Infraskope Dashboard

15 Uygulama Yönetimi Websense in desktop karşılığı 2 dakika içinde etkinleştirme Merkezi olarak belirlenen uygulamaların raporlanması ve durdurulması MSN, GoogleTalk, YahooMessenger, vs Remote Control programları Encryption yazılımları Tunneling yazılımları

16 Device Control Bir veya daha fazla bilgisayar için depolama aygıtlarının kontrol edilmesi Kurum dışına çıkartılan bilgisayarların kapatılması desteği

17 Yazılım ve Donanım Envanteri Kurumsal yazılım/donanım envanteri WMI tarafından raporlanmayan bilgilerin kaydı İşletim sistemi ve Office uygulamalarının kurulum anahtarı Kullanıcı bilgisayarlarındaki grupların üyelerinin kontrolü WebCam / Scanner tespiti 3G modem tespiti

18 Hiyerarşik Alarm Yönetimi Active Directory ile entegre site yapılandırma Oluşan olayların üst siteye de gönderilmesi olanağı İstenmeyen zaman dilimlerinde hattı meşgul etmeme özelliği

19 Referanslarımızdan bazıları Milli Eğitim Bakanlığı 3000 kullanıcı Hedef: kullanıcı Emniyet İstihbarat 4500 kullanıcı KİK, Kültür Bakanlığı, TOFAŞ, OPET, ASELSAN, Deniz Kuvvetleri, Gölcük Donanma, Sheraton, GAMA Holding, Nurol Holding, EUAŞ, 70+ Kurumsal müşteri

20 Teşekkürler! karmasis.com

21 Teknik İnceleme Infraskope Server Infrskope WebService Infraskope Agents Infraskope Sensors Infraskope Reports

22 Genel Yapı

23 Agent 800KB MSI paketi (Group Policy veya diğer yöntemlerle dağıtım) Düşük bellek kullanımı 2000,XP,Vista) ortalama 700 KB 2003 / 2008 Server MB Ağ problemi veya FrontEnd ile bağlantıya geçememe durumunda oluşan olaylar yerel olarak biriktirilir ve bağlantı gerçekleştiğinde yollar Merkezi kurallara göre envanter yollama Kritik sistem bileşenlerindeki değişikliklerin raporlanması (CPU, RAM, Disk, DVD, vs) Merkezi olarak belirlenen kurallara göre Windows eventlog a yazılan olayları gerçek zamanlı olarak yakalamak USB kullanımını tesbit etmek Network kartında meydana gelen değişiklikleri tesbit etmek (IP, MAC adresi, gateway, DNS) Bilgisayar adı değişikliklerini takip etmek Sniffer kullanımını tesbit etmek Karaliste uygulamalarını tesbit etmek ve/veya durdurmak/çalıştırmak

24 Event Repository Microsoft SQL Server 2005 / 2008 HA fonksiyonları (mirroring, clustering, vs) Şifreli saklama seçenekleri Hot Database (AuditDB) Genellikle 1-2 haftalık (değiştirilebilir) olayları içinde barındırır Belirlenen süreden sonraki olaylar AuditReportDB ye otomatik olarak aktarılır Report Database (AuditReportDB) AuditDB nin kopyası Geriye dönük sorgulamadan TempDB olarak kullanılabilmektedir. Raporlama performansı açısından ayrı bir filegroup yapılabilir Longterm Archive to File system Günlük log kayıtları import edilebilecek şekilde tanımlanan dizin altında sıkıştırılarak ve imzalanarak saklanır.

25 Infraskope Frontend Infraskope bileşenleri (Agent, Server, Console) tarafından kullanılan orta katman.net Framework 2.0 ile geliştirildi SOAP / XML WebService arayüzü sayesinde diğer uygulamalardan erişim olanağı NLB ile yatay büyüme olanağı Basit Firewall yapılandırması (TCP 80/443) Kesintisiz çalışma için MSMQ kullanımı Gelen olaylar MSMQ ya gönderilir, böylece olay kaybı yaşanmaz

26 Infraskope Server FrontEnd tarafından MSMQ ya yazılan olayları veritabanına aktarır Alarm kurallarına göre uyarıları oluşturur Visual (Console) Run application SMS* Agent ların son bağlantı zamanını kaydeder (online-offline kararı için) Console da bir alarm kuralı değiştirilirse servisi tekrar başlatma gereği yoktur

27 Infraskope Management Console Tüm yapılandırma IMC ile yapılır Gerçek zamanlı dashboard, olay ve alarmlar Geçmiş tarihli olayların araştırılması Toplama kuralları (Agent lar kullanır) Agent lar tarafından hangi kuralların FE lere gönderileceği / gönderilmeyeceği Alarm kuralları (Server tarafından kullanılır) Bir event geldiğinde uyarı verilmesi Uygulama (Karaliste) kuralları Acil durumlarda agent lar tarafından ilgili uygulamaların durdurulması/çalıştırılması sağlanır Policy kuralları Registry veya dosya sisteminde olması/olmaması gereken nesneler

28 Sensör ler Özel log kaynaklarını yakalamak için geliştirilen Windows Service uygulamalarıdır. SysLog sensor (Unix/Linux/Network Devices) DHCP Sensor (Windows Server 200x) Rouge DHCP Sensor (Tüm DHCP cihazları/sunucuları) Wireless Access Point Sensor NetApp Sensor Internet Information Services (IIS) Sensor Web Listener (Infraskope Web Listener) Websense Sensor ISA Log Sensor MSN Sensor MS Exchange 2003/2007 logger SMTP MailLogger :

29 Ekran Görüntüleri Infraskope Management Console

30 Dashboard Büyük Resmi Görmek

31 Realtime Dashboard Büyük Resmi Görmek

32 Kullanıcı kodu paylaşımı

33 Realtime Alerts

34 Realtime Events

35 Toplama Kuralları

36 Alarm Kuralları

37 Alarm Kuralı

38 Session Tracker

39 Event Repository

40 Security/528 için örnek ekranlar

41 Security/528 Template Her event içinde alanlar parse edilmiştir. %1..%15 olarak görülen alanlar kurallarda kullanılabilir (param1..param15) Örnek alarm kuralı: EventID=528 and Source= Security and Param4=7 or Param4=10 Her event için param sayısı farklı olabilir

42 Security/528 Knowledge Base

43 Raporlar SQL Server 2008 Reporting Services Adli (forensics)raporlar Yönetim raporları (trend analysis, summary reports) Uyumluluk raporları (27001, SOX, HIPAA, vs) SQL ReportBuilder ile anında rapor tanımlama Tanımlı sürelerde otomatik rapor üretimi Değişik yayınlama yöntemleri Web portal E-posta File Share Esnek dosya formatlarına aktarma HTML PDF Excel

44 Rapor Ekranı (Web Arayüzü de kullanılabilir)

45 Diğer Log Kaynaklarının Toplanması Infraskope ile toplanabilen kaynaklar Syslog (unix/linux, ağ vegüvenlik cihazları, vs) Rogue DHCP sunucuların tesbiti DHCP logları MSN File Transfer logları ISA Server logları Websense logları WebListener (Infraskope URL Logger) Labris logları Checkpoint logları Yetkisiz Wireless Access Point logları Metin tabanlı (text based log) log toplama (*) Firewall IDS/IPS Non-Microsoft mail servers vs Database Activity File System Audit (Delete / Rename / Create)

46 Windows Security Auditing Eğitimi Detaylı Windows Security Log analiz eğitimi Log ve denetim (auditing) arasındaki farklar Logon / Logoff olayları Authentication (NTLM/Kerberos) olayları Çalıştırılan uygulamaların takibi Kullanıcı yönetimi olaylarının takibi Active Directory Group Policy olaylarının takibi Sistem olaylarının takibi Kullanabileceğiniz araç ve scriptler ISO 17799/27001 için kontrol edilmesi gereken alanlar Uyumlu olmak için gerekli raporlar

47 Eğitimde işlenecek konular Windows Güvenlik Denetimi (Security Auditing) Denetleme (Auditing) ve Log arasındaki farklar Denetleme Politikalarının Ayarlanması Hangi Kategoriler İzlenmeli? Olay Günlükleri (EventLog) Yapısı Olay Günlüğü İzleme Araçları (Event Viewer, Script, diğer ürünler) Olay Günlüğü Kaynakları(Event Source) Kayıt (Log) Dosya Büyüklüğü Kayıt Tutma (Logging) Seçenekleri Logon ve Kimlik Doğrulama Olayları Logon Tipleri DOMAIN LOGON LOCAL LOGON Domain Kimlik Doğrulama Başarısız Logon Olayları Downgrade Attack nedir? NTLM Kimlik Doğrulama İşlemi NTLM Hata Kodları Yerel Kimlik Doğrulama Kullanıcı Aktivitesinin Gözetlenmesi Nesne Erişim Olayları (Object Access) İşlemlerin takibi (Process Tracking) Hesap Yönetimi ve Sistem Yöneticilerinin yaptığı kullanıcı işlemlerin izlenmesi Kullanıcı ve Grup Olayları Kullanıcı Yaratma Kullanıcı Silme Grup İşlemleri (Yaratma / Silme / Değişiklik) Bilgisayarı Etki Alanına Dahil Etme (Domain Join) Active Directory Service Erişim Denetimi Group Policy Nesnelerinin Denetimi Organizational Unit işlemlerinin denetimi Audit Ayarlarının Yapılması Yapılan Auditing ayarının test edilmesi Group Policy Nesneleri Üzerinde Yapılan İşlemlerin Denetimi Kullanıcı Hakları (Privilege Use) Denetimi Sistem Aktivitesinin Denetimi

48 Teşekkürler! karmasis.com