Infraskope Server Murat Eraydın Karmasis
Manşet Haberler Log Yönetiminin Önemi
5651 Sayılı Yasa ve Yönetmelikler
Senaryo #1 Kullanıcı DHCP ile aldığ IP adresini izinde olan müdürünün IP adresi ile değiştirdi 10.0.1.241 10.0.1.30 Kullanıcı www.gazete.com.tr adresini ziyaret etti Başbakan hakkında bir habere uygun olmayan bir yorum yazdı Kullanıcı IP adresini DHCP ye geri ayarladı 10.0.1.30 10.0.1.241 Başbakanlık dava açtı Gazete.com.tr gelen ip adresini siz olarak bildirdi Savcılık sizden ilgili işlemi kimin yaptığını bildirmenizi istedi
Senaryo #2 Domain admin geçici bir kullanıcı oluşturdu Yeni kullanıcı ile oturum açtı Genel Müdür veya diğer üst düzey yöneticilerin makinasına erişti (C$) İstediği bilgiyi aldı/değiştirdi/sildi Oturum kapattı ve tekrar domain admin ile oturum açtı Logları temizledi
Senaryo #3 Bir kullanıcı hakkında soruşturma yapılıyor Kullanıcının geçtiğimiz ay içinde aşağıdaki işlemlerinin raporlanması istendi (savcı) Hangi bilgisayarlardan oturum açtığı USB diskine kopyaladığı dosyalar Yazdırdığı dokümanlar Attığı Epostalar Girdiği web siteleri
Bir bakışta Infraskope Gerçek zamanlı alarmlar ve saklama Windows Event Log SysLog, W3C Logs, Uygulama logları... Kullanıcı tanımlı kurallar Görsel alarmlar, SMS gönderme, e-posta, Parametrik alanların sorgulanabilmesi Kurumsal Yönetim Merkezde tek konsol Uzaktan yükleme/silme Kullanıcı / Yönetici tarafından durdurulamama Birçok uzak yönetim fonksiyonu Kurumsal Envanter Yazılım ve Donanım Lisans Uyumluluğu Yasak uygulamaların tesbiti Demirbaş takibi* Genişleyebilir ve Açık Mimari Mevcut uygulamalarınıza bilgi aktarma Standart ara birimler (Database, WebServices,...) Sensorler sayesinde diğer log kaynaklarının toplanması (SysLog, CEF, DHCP, MSN, vs)
Log Kaynakları İşletim Sistemleri Uygulama Logları Network Cihazları Firewall / Proxy E-Mail IDS / IPS Database Windows 2000/XP/Vista IAS (VPN), DHCP SysLog ISA Server / WebSense / Juniper etc Exchange 2003 Proventia** SQL Server Windows Server 2000/2003/2008 IIS 6/7 (W3C) SNMP CISCO PIX / CheckPoint Exchange 2007 SNORT (via SysLog) Oracle UNIX / LINUX Türevleri* Apache (via SysLog) Labris / i-bekçi Exchange 2010 (Custom) NAS Cihazları (NETAPP) BlueCoat / Squid SendMail / Qmail ve benzer *NIX tabanlı sistemler Generic Web Sniffer* * Ajanlı ve ajansız
Kullanıcılardan Log Toplamanın Önemi İzlenmek istemeyen kullanıcılar IP adresi değiştirmek IM uygulamalarında şifreli trafik kullanmak Remote Control uygulamaları Log-Me-In, Hamachi, TeamViewer, Radmin, Password attack Kullanıcı insan kaynakları (veya genel müdürün) bilgisayarının şifresini kırmaya çalışıyor Network trafiğini izleyen uygulamalar Ethereal, WireShark, USB / DVDROM gibi cihazlarla gelen uygulamalar Yazıcı ile alınan belgeler
Kullanıcının İzlenmesi Infraskope Agent Kural tabanlı merkezi log toplama Sadece Windows tarafından loglananları değil! USB cihazların ve USB ye kopyalanan dosyaların takibi Yazıcı çıktı takibi* PrintScreen ve diğer uygulamalarla alınan görüntülerin takibi Kablosuz ağlara yapılan bağlantılar Kafe, havaalanı v.s. 3G modem bağlantılarının takibi Sniffer uygulamalarının takibi Uygulama yasaklama / raporlama Dosya adına göre MD5 hash e göre Sistem yöneticisi hesabı ile bile durdurulamama * Infraskope Print Audit ile
Infraskope Server Fiziksel veya sanal makine desteği Kalıcı ve EPS bağımsız lisanslama Şube sunucuları için ücretsiz «Staging Server» 2 soket (8 core) / 8 GB sunucu ile 15000+ EPS veri işleme Scale-Up / Scale-Out kurulum senaryoları Cluster SQL Server desteği
Infraskope Server Alarm Yönetimi Haber verme hizmetleri (Notification) E-posta gönderme Güvenlik yöneticisine/grubuna Kullanıcının kendisine Kullanıcının müdürüne Pop-up (görsel) mesaj SMS gönderme Komut çalıştırma (Command Execution) Tüm olaylarda dinamik (oluşan olay hakkında) parametre yollayabilme «Kullanıcı yaratıldı» «admin tarafından stajyer kullanıcısı oluşturuldu»
Korelasyon Modülü (2011 Q4) Farklı olayların ilişkilendirilmesi Sekans tespiti Event X Event Y in 5 min Event Z missing(event W) Eksik olayların tespiti Her t sürede olması gereken bir olayın gerçekleşmemesi
Infraskope Dashboard
Uygulama Yönetimi Websense in desktop karşılığı 2 dakika içinde etkinleştirme Merkezi olarak belirlenen uygulamaların raporlanması ve durdurulması MSN, GoogleTalk, YahooMessenger, vs Remote Control programları Encryption yazılımları Tunneling yazılımları
Device Control Bir veya daha fazla bilgisayar için depolama aygıtlarının kontrol edilmesi Kurum dışına çıkartılan bilgisayarların kapatılması desteği
Yazılım ve Donanım Envanteri Kurumsal yazılım/donanım envanteri WMI tarafından raporlanmayan bilgilerin kaydı İşletim sistemi ve Office uygulamalarının kurulum anahtarı Kullanıcı bilgisayarlarındaki grupların üyelerinin kontrolü WebCam / Scanner tespiti 3G modem tespiti
Hiyerarşik Alarm Yönetimi Active Directory ile entegre site yapılandırma Oluşan olayların üst siteye de gönderilmesi olanağı İstenmeyen zaman dilimlerinde hattı meşgul etmeme özelliği
Referanslarımızdan bazıları Milli Eğitim Bakanlığı 3000 kullanıcı Hedef: 17000 kullanıcı Emniyet İstihbarat 4500 kullanıcı KİK, Kültür Bakanlığı, TOFAŞ, OPET, ASELSAN, Deniz Kuvvetleri, Gölcük Donanma, Sheraton, GAMA Holding, Nurol Holding, EUAŞ, 70+ Kurumsal müşteri
Teşekkürler! murat.eraydin @ karmasis.com
Teknik İnceleme Infraskope Server Infrskope WebService Infraskope Agents Infraskope Sensors Infraskope Reports
Genel Yapı
Agent 800KB MSI paketi (Group Policy veya diğer yöntemlerle dağıtım) Düşük bellek kullanımı 2000,XP,Vista) ortalama 700 KB 2003 / 2008 Server 15-30 MB Ağ problemi veya FrontEnd ile bağlantıya geçememe durumunda oluşan olaylar yerel olarak biriktirilir ve bağlantı gerçekleştiğinde yollar Merkezi kurallara göre envanter yollama Kritik sistem bileşenlerindeki değişikliklerin raporlanması (CPU, RAM, Disk, DVD, vs) Merkezi olarak belirlenen kurallara göre Windows eventlog a yazılan olayları gerçek zamanlı olarak yakalamak USB kullanımını tesbit etmek Network kartında meydana gelen değişiklikleri tesbit etmek (IP, MAC adresi, gateway, DNS) Bilgisayar adı değişikliklerini takip etmek Sniffer kullanımını tesbit etmek Karaliste uygulamalarını tesbit etmek ve/veya durdurmak/çalıştırmak
Event Repository Microsoft SQL Server 2005 / 2008 HA fonksiyonları (mirroring, clustering, vs) Şifreli saklama seçenekleri Hot Database (AuditDB) Genellikle 1-2 haftalık (değiştirilebilir) olayları içinde barındırır Belirlenen süreden sonraki olaylar AuditReportDB ye otomatik olarak aktarılır Report Database (AuditReportDB) AuditDB nin kopyası Geriye dönük sorgulamadan TempDB olarak kullanılabilmektedir. Raporlama performansı açısından ayrı bir filegroup yapılabilir Longterm Archive to File system Günlük log kayıtları import edilebilecek şekilde tanımlanan dizin altında sıkıştırılarak ve imzalanarak saklanır.
Infraskope Frontend Infraskope bileşenleri (Agent, Server, Console) tarafından kullanılan orta katman.net Framework 2.0 ile geliştirildi SOAP / XML WebService arayüzü sayesinde diğer uygulamalardan erişim olanağı NLB ile yatay büyüme olanağı Basit Firewall yapılandırması (TCP 80/443) Kesintisiz çalışma için MSMQ kullanımı Gelen olaylar MSMQ ya gönderilir, böylece olay kaybı yaşanmaz
Infraskope Server FrontEnd tarafından MSMQ ya yazılan olayları veritabanına aktarır Alarm kurallarına göre uyarıları oluşturur Visual (Console) E-mail Run application SMS* Agent ların son bağlantı zamanını kaydeder (online-offline kararı için) Console da bir alarm kuralı değiştirilirse servisi tekrar başlatma gereği yoktur
Infraskope Management Console Tüm yapılandırma IMC ile yapılır Gerçek zamanlı dashboard, olay ve alarmlar Geçmiş tarihli olayların araştırılması Toplama kuralları (Agent lar kullanır) Agent lar tarafından hangi kuralların FE lere gönderileceği / gönderilmeyeceği Alarm kuralları (Server tarafından kullanılır) Bir event geldiğinde uyarı verilmesi Uygulama (Karaliste) kuralları Acil durumlarda agent lar tarafından ilgili uygulamaların durdurulması/çalıştırılması sağlanır Policy kuralları Registry veya dosya sisteminde olması/olmaması gereken nesneler
Sensör ler Özel log kaynaklarını yakalamak için geliştirilen Windows Service uygulamalarıdır. SysLog sensor (Unix/Linux/Network Devices) DHCP Sensor (Windows Server 200x) Rouge DHCP Sensor (Tüm DHCP cihazları/sunucuları) Wireless Access Point Sensor NetApp Sensor Internet Information Services (IIS) Sensor Web Listener (Infraskope Web Listener) Websense Sensor ISA Log Sensor MSN Sensor MS Exchange 2003/2007 logger SMTP MailLogger :
Ekran Görüntüleri Infraskope Management Console
Dashboard Büyük Resmi Görmek
Realtime Dashboard Büyük Resmi Görmek
Kullanıcı kodu paylaşımı
Realtime Alerts
Realtime Events
Toplama Kuralları
Alarm Kuralları
Alarm Kuralı
Session Tracker
Event Repository
Security/528 için örnek ekranlar
Security/528 Template Her event içinde alanlar parse edilmiştir. %1..%15 olarak görülen alanlar kurallarda kullanılabilir (param1..param15) Örnek alarm kuralı: EventID=528 and Source= Security and Param4=7 or Param4=10 Her event için param sayısı farklı olabilir
Security/528 Knowledge Base
Raporlar SQL Server 2008 Reporting Services Adli (forensics)raporlar Yönetim raporları (trend analysis, summary reports) Uyumluluk raporları (27001, SOX, HIPAA, vs) SQL ReportBuilder ile anında rapor tanımlama Tanımlı sürelerde otomatik rapor üretimi Değişik yayınlama yöntemleri Web portal E-posta File Share Esnek dosya formatlarına aktarma HTML PDF Excel
Rapor Ekranı (Web Arayüzü de kullanılabilir)
Diğer Log Kaynaklarının Toplanması Infraskope ile toplanabilen kaynaklar Syslog (unix/linux, ağ vegüvenlik cihazları, vs) Rogue DHCP sunucuların tesbiti DHCP logları MSN File Transfer logları ISA Server logları Websense logları WebListener (Infraskope URL Logger) Labris logları Checkpoint logları Yetkisiz Wireless Access Point logları Metin tabanlı (text based log) log toplama (*) Firewall IDS/IPS Non-Microsoft mail servers vs Database Activity File System Audit (Delete / Rename / Create)
Windows Security Auditing Eğitimi Detaylı Windows Security Log analiz eğitimi Log ve denetim (auditing) arasındaki farklar Logon / Logoff olayları Authentication (NTLM/Kerberos) olayları Çalıştırılan uygulamaların takibi Kullanıcı yönetimi olaylarının takibi Active Directory Group Policy olaylarının takibi Sistem olaylarının takibi Kullanabileceğiniz araç ve scriptler ISO 17799/27001 için kontrol edilmesi gereken alanlar Uyumlu olmak için gerekli raporlar
Eğitimde işlenecek konular Windows Güvenlik Denetimi (Security Auditing) Denetleme (Auditing) ve Log arasındaki farklar Denetleme Politikalarının Ayarlanması Hangi Kategoriler İzlenmeli? Olay Günlükleri (EventLog) Yapısı Olay Günlüğü İzleme Araçları (Event Viewer, Script, diğer ürünler) Olay Günlüğü Kaynakları(Event Source) Kayıt (Log) Dosya Büyüklüğü Kayıt Tutma (Logging) Seçenekleri Logon ve Kimlik Doğrulama Olayları Logon Tipleri DOMAIN LOGON LOCAL LOGON Domain Kimlik Doğrulama Başarısız Logon Olayları Downgrade Attack nedir? NTLM Kimlik Doğrulama İşlemi NTLM Hata Kodları Yerel Kimlik Doğrulama Kullanıcı Aktivitesinin Gözetlenmesi Nesne Erişim Olayları (Object Access) İşlemlerin takibi (Process Tracking) Hesap Yönetimi ve Sistem Yöneticilerinin yaptığı kullanıcı işlemlerin izlenmesi Kullanıcı ve Grup Olayları Kullanıcı Yaratma Kullanıcı Silme Grup İşlemleri (Yaratma / Silme / Değişiklik) Bilgisayarı Etki Alanına Dahil Etme (Domain Join) Active Directory Service Erişim Denetimi Group Policy Nesnelerinin Denetimi Organizational Unit işlemlerinin denetimi Audit Ayarlarının Yapılması Yapılan Auditing ayarının test edilmesi Group Policy Nesneleri Üzerinde Yapılan İşlemlerin Denetimi Kullanıcı Hakları (Privilege Use) Denetimi Sistem Aktivitesinin Denetimi
Teşekkürler! murat.eraydin @ karmasis.com