Yeni Özellikler Türk mühendisleri tarafından geliştirilen Infraskope Server 2012, yüksek performanslı bir log toplama ve kurumsal güvenlik olay yönetim uygulamasıdır (SIEM). Bu dokümanda Infraskope Server 2012 ile birlikte gelen yeni özellikler anlatılmaktadır.
İçindekiler İlk Bakışta Infraskope Server 2012... 2 Yeni Fonksiyonel Dashboard... 2 Korelasyon Motoru... 2 Kural Tipleri... 2 TimeWindow Seçenekleri... 3 Çoklu Uyarı Yöntemleri... 3 Normalizasyon Motoru... 4 Sınıflandırma Motoru... 4 Örnek Sınıflandırma kuralları... 4 Ölçeklenebilir Sorgulama... 4 Arama Seçenekleri... 5 Görselleştirme Yöntemleri... 5 Histogram... 5 WordCloud... 6 Treemap... 6 Kurumsal Envanter... 7 Envanter Dashboard... 7 Kurumsal Kayıt Bilgileri... 7 Bu dokümanda yer alan konular Karmasis in izni olmadan başka bir kişi veya kurumla paylaşılamaz. Karmasis bu dokümanda belirtilen özellikleri değiştirme hakkını saklı tutar. Infraskope Server 2012 Yeni Özellikler 1
İlk Bakışta Infraskope Server 2012 Infraskope Server 2012, yüksek performanslı bir log toplama ve kurumsal güvenlik olay yönetim uygulamasıdır (SIEM). Bu dokümanda Infraskope Server 2012 ile birlikte gelen yüksek performanslı ilişkilendirme motoru (corelation), olay sınıflandırma motoru (classification), olay normalleştirme motoru (normalization), yüksek performanslı görsel sorgulama, kurumsal envanter gibi bölümlerde yapılan değişiklikler detaylı bir şekilde anlatılmaktadır. Yeni Fonksiyonel Dashboard Kullanıcı tarafından değiştirilebilen yapıda hazırlanan yeni dashboard, güvenlik olaylarının ilk bakışta karşınıza çıkmasını hedefleyen bilgilerle donatılmıştır. Renk kodları ile önemli olayların çok daha kolay fark edilmesini sağlayan yeni tasarım ile uyarılar ve beklenmeyen olayları kolayca görebileceksiniz. Korelasyon Motoru Yüksek performanslı in-memory ilişkilendirme motoru sayesinde farklı olaylar arasında ilişki kurmanız sağlayan korelasyon motoru her türlü korelasyon senaryosunu kolay bir şekilde adresleyebilmenizi sağlamaktadır. Kural Tipleri Korelasyon kurallarında kullanabileceğiniz kural tipleri aşağıda listelenmiştir: Simple Rule (X): Tek bir olayı tespit etmenizi sağlamaktadır. Missing Rule (NOT X): Belirlenen bir sürede beklenen bir olayın gerçekleşmemesi durumunu tespit etmenizi sağlamaktadır. Infraskope Server 2012 Yeni Özellikler 2
Multi-hit Rule (SUM X): Belirlenen bir sürede bir olayın n kereden fazla oluşması durumunu tespit etmenizi sağlamaktadır Yukarıda belirtilen kuralların bir biri ardına istenen sayıda eklenmesi mümkün olduğu için SIEM ürünlerinde standart olarak gelen kuralların tamamı desteklenmektedir (X, X AFTER X, X NOT X, v.b.). Aşağıdaki ekran görüntüsünde bir kullanıcı yaratıldığında oluşan olayların nasıl tespit edilebileceği gösterilmektedir. TimeWindow Seçenekleri Korelasyon kuralının hangi saatler arasında gerçekleşmesi gerektiği, tüm olayın ne kadar sürede gerçekleşmesi gerektiği ve aynı olay birden fazla gerçekleştiğinde ne kadar süre ile tekrar üretilmeyecek (suppression) gibi seçeneklerin tamamı kullanıcı tarafından ayarlanabilmektedir. Çoklu Uyarı Yöntemleri İlgilendiğiniz bir olay gerçekleştiğinde birden fazla seçenekle size haber verilmesini sağlayabilirsiniz. Run script or application - İstenen bir uygulama veya scripti çalıştırma Send email - Eposta ile uyarı Show notification - Görsel uyarı Write To Eventlog - Eventlog'a farklı bir olay yazma Planlanan diğer uyarılar Yukarıda mevcut uyarı yöntemlerine ek olarak aşağıda listelenen uyarı yöntemleri de kullanılabilecektir. (Post RTM) SNMP trap Syslog Play sound Infraskope Server 2012 Yeni Özellikler 3
Normalizasyon Motoru Eskiden bir olayı araştırabilmeniz için Olay Numarası ve Kaynak bilgisini bilmeniz gerekirdi. Yeni normalizasyon motoru sayesinde artık olayın kendisini adı ile arayabileceksiniz. Örneğin Başarısız Oturum Açma Girişimi şeklinde sorgulama yaptığınızda değişik işletim sistemleri ve cihazlar tarafından üretilen oturum açma girişimlerini tespit edebileceksiniz. Her bir sistem için ayrı olan olay numaralarını bilmek zorunda kalmadan! Sınıflandırma Motoru Operatörlerin her türlü olayı görebilmeleri log toplama çözümlerinde en ciddi problemlerden biridir. Örneğin İnsan kaynakları tarafından atılan e-postaları, Üst yöneticilerin ziyaret ettiği web siteleri, PrintScreen ile alınan görüntüleri sadece belirli bir seviyedeki operatörlerin görebilmesi gerekmektedir. Infraskope Server 2012 Sınıflandırma motoru ile oluşan olaylara bir sınıf atanmakta ve operatörler sadece kendileri ile ilgili olayları görebilmektedirler. Örnek Sınıflandırma kuralları "Olay içinde 'HR' geçiyorsa sadece TopLevel Operatörler tarafından görüntülenebilsin" 10.1.1.0 IP adresi geçen olaylar sadece Network Operators grubu tarafından görüntülenebilsin Ölçeklenebilir Sorgulama Infraskope Management Console 2012 (IMC) ile milyonlarca olay kaydını kolayca analiz edebilir ve istediğiniz bilgiye kolayca ulaşabilirsiniz. Infraskope Server 2012 Yeni Özellikler 4
Arama Seçenekleri Kelime bazlı arama yapabildiğiniz gibi isterseniz olay numarası, tarih, bilgisayar adı veya kaynak bilgilerine göre de değişik kriterler belirleyerek arama yapabilirsiniz. Görselleştirme Yöntemleri Management Console yapılan sorgunun sonuçlarını değişik şekillerde görselleştirmenize izin verir. Aşağıda bu görselleştirme yöntemleri listelenmiştir. Histogram Yapılan sorgu sonucu ekranın en alt bölümünde bulunan histogramda gösterilmektedir. Bu pencere içinden fare ile seçim yaparak sonucu istediğiniz bir alana daraltabilirsiniz. Infraskope Server 2012 Yeni Özellikler 5
WordCloud Sorgu sonucu içinde geçen olay numaraları, kaynaklar ve parametreler görsel olarak sunularak en çok geçen kelimelerin kolayca gözünüze çarpmasını sağlamaktadır. İlgilendiğiniz kelime üzerine tıkladığınızda sonuçlar otomatik olarak filtrelenmektedir. Treemap Çok miktarda veri üzerinde araştırma yapmak uzun ve zahmetli bir iştir. Infraskope Management Console 2012, yapılan sorgulamanın ardından grid üzerinde yapacağınız gruplamalar otomatik olarak Treemap diagramı ile görselleştirilir. Bu sayede, hangi olayın ne kadar sayıda oluşmuş olduğu çok daha kolay bir şekilde analiz edilebilir. Bu ekranda istemediğiniz olayları filtreleme seçeneği de mevcuttur. Infraskope Server 2012 Yeni Özellikler 6
Kurumsal Envanter Mevcut sürümde bulunan envanter toplama işlevi, kurumsal ihtiyaçlar doğrultusunda geliştirilmiştir. Envanter Dashboard Mevcut dashboard a ek olarak kurumsal varlıkların daha kolay takip edilebilmesi amacıyla geliştirilen dashboard ile bilgisayar envanterini çok daha kolay bir şekilde takip edebilirsiniz. Kurumsal Kayıt Bilgileri Kullanıcı adı, telefon numarası, ActiveDirectory hesap adı gibi özelliklerin yanısıra, fatura numarası, garanti bitiş tarihi ve BT grubunun ilgili varlığı daha kolay takip edebilmeleri için özel alanlar eklenmiştir. Ayrıca, kurumsal uygulamalardan ilgili bilgilere erişim için XML Web Servislerini kullanmanız mümkündür. Infraskope Server 2012 Yeni Özellikler 7