SureLog Log Yönetimi & SIEM Anet Yazılım
SURELOG SureLog güvenlik analizi, korelasyon ve veri analizi özellikle trafik ve güvenlik raporları için veri analizi yapabilen bir platformdur. SureLog Log Yönetimi & SIEM ürünümüz tamamen yeniden tasarlandı. Yeni özelikler 1. Görsel grafik analiz platformu 2. Desteklediği sistemler: 3Com Airlive Anchiva Apache Applied Identity ARKOON Network Security Astaro Aventail AWStats Barracuda BlueCoat Check Point Cimcor Cisco Systems Clavister CyberGuard Cyberoam Dansguardian D-Link DP Firewalls Drytek Drytek DNS Electronic Consultants Lenovo Security Technologies Linux Linux DHCP Linux DNS Lucent Fortinet Fortimail Fortinet DHCP FreeBSD Funkwerk Enterprise Communications Gateprotect Global Technologies Ingate Inktomi IPCop Ironport Juniper Networks Juniper Networks DHCP Kerio Palo Alto Pfsense Pfsense DHCP Postfix Recourse Technologies McAfee UTM McAffe MailGateway Metatrader Microsoft ISA&TMG Microsoft Windows Event Log Microsoft DHCP Microsoft Windows DNS Microsoft Exchange Microsoft IIS Microsoft IIS SMTP NetApp NetASQ NetFilter Netopia Network-1 Opzoon Oracle Ruijie Securepoint Snort SonicWALL SonicWALL DHCP Squid Project St. Bernard Software Stonesoft Sun Microsystems Trendmicro Web Filter Unix Untangle Vmware Vyatta WatchGuard Websense Websense Mail Gateway Zimbra Zywall
3. Trafik Raporları. 4. Kişiselleştirilebilir sistem ara yüzü: menüleri ve raporları. 5. Compliance raporları. ISO 27001, SOX, HIPAA, PCI, GLBA rapor şablonlarını destekler. 6. Dinamik raporlar oluşturma ve zamanlanmış raporlar isteğe bağlı tasarlanabilir.
7. Toplam sayfa sayısı, toplam kayıt sayısı, sorgulama süresi gibi parametreleri kullanıcıya raporlayabilen istatistik modülü 8. Google benzeri arama motoru. 9. Performans ve Protokol Analizi Modülü Traffic Reports Protocol Usage Reports Web Usage Reports Mail Usage Reports
FTP Usage Reports Telnet Usage Reports Streaming & Chat Reports Event Summary Reports VPN Reports Firewall Rules Reports Inbound & Outbound Traffic Intranet Reports Internet Reports Virus Reports Attack Reports Spam Reports Protocol Trend Reports Traffic Trend Reports Event Trend Reports URL Report 10. Detaylı Compliance Raporları: ISO 27001, SOX, HIPAA, PCI, GLBA hazır rapor şablonları ile kolay raporlama yapabilirsiniz Örnek ISO 27001:2013 Rapor Şablonları: Object Access : Controls A 12.4.1,12.4.2 System Events : Control A 12.4.2 Logon : Object Accessed Object Created Object Modified Object Deleted Object Handle System Logs Audit Logs Cleared User Access : Controls A.12.4.1,12.4.3,A 9.4.2,9.2.1 Control A 12.4.3 Individual User Action Successful User Logons Successful User Logoffs Account Management :
Unsuccessful User Logons Terminal Service Session Controls A.12.4.1,12.4.3,A 9.4.2,9.2.1 Policy Changes : Controls A 12.4.1,12.4.2,12.4.3 & 9.2.5 User Account Changes Computer Account Changes User Group Changes User Policy Changes Domain Policy Changes Audit Policy Changes 11. Windows Event Log Raporları : SURELOG İSTATİSTİK ANALİZ VE RAPORLAMA MODÜLÜ
SureLog ürünü istatistik analizi modülü ile; Trafik, Güvenlik ve Protokol analizi ve raporlamasını çok etkin bir şekilde yapmaktadır. Örnek Şablonlar Traffic Reports Security Reports Protocol Usage Reports Web Usage Reports Virus Reports Attack Reports Spam Reports Traffic Trend Reports Event Trend Reports Mail Usage Reports FTP Usage Reports Telnet Usage Reports Streaming & Chat Reports Protocol Trend Reports Intranet Reports Internet Reports Event Summary Reports VPN Reports URL Report Firewall Rules Reports Inbound & Outbound Traffic Örnek Raporlar: Atak Raporları:
En çok log üreten makineler:
Günü en çok trafik oluşan saatleri: En çok Trafik Üretilen Makineler:
Streaming&Chat Raporları: En çok bloklanan siteler
En çok ziyaret edilen siteler: En çok ziyaret edilen kategoriler:
En çok bloklanan kategoriler: Firewallda en çok kullanılan kurallar:
En çok VPN yapan kullanıcılar: En çok VPN yapan kullanıcılar ve süreleri:
Günün en çok VPN yapılan saatleri ve trafik: Korelasyon Bağımsız iki olay arasındaki ilişkinin yönünü ve gücünü belirtir. İki olay birbiri ile ne kadar alakalı / alakasız Toplanan kayıtların belli senaryolar eşliğinde incelenmesi, birbirini tamamlayan veya birbirine katkı sağlayan olay kayıtlarının arasında bir ilişki kurulmasıdır. Saldırı senaryolarının oluşturulması gereklidir. Saldırının son safhasına kadar yol üzerinde kayıt üretmesi beklenen sistem bileşenleri belirlenip olaylar mantıksal olarak ilişkilendirilmelidir. Olay yönetimi günümüz dünyasında iş yapmanın getirdiği yüksek seviye risklerin yönetilebilmesi için gerekli olan depolama, gerçek zamanlı gözleme, tarihsel analiz ve otomatik cevap gibi mekanizmaları
gerektirmektedir. SURELOG gerçek zamanlı olay yönetimini SURELOG korelasyon modülü ile sizlere sağlıyor. SURELOG nın gelişmiş gerçek zamanlı korelasyon kabiliyeti, herhangi bir olay için bu olayla ilgili olarak kim, ne, nerede, ne zaman, neden sorularının ilgisini ve riskler üstündeki etkisinin ortaya çıkmasını sağlar. SureLog yeni kural motoru ve CEP motoru ile gücüne güçkatıyor!!! ANET Yazılım Güvenlik Analizi ve Log Yönetimi ürünü SureLogya kural motoru ekledi. Kural motoru JSR94 Rule Engine API destekleyen uluslararası standartlarda bir motordur. Kural Dili Zaman ile değişebilecek ihtiyaçlara cevap verir. Her zaman ne yapılacağını söyler, nasıl yapılacağını değil. Kural Mimarisi SureLogçalışmaya başladığında SureLogkural motoru üzerindeki kurallar "Production Memory"'ye
aktarılır. "Working Memory" üzerinde bulunan sistem nesneleri (unsurlar) da "Pattern Matcher"'a aktarılır. Burada hangi kuralın çalışacağı belirlenir. Çalışacak kurallar belirlendikten sonra "Agenda" ile kuralların çalışma sırası belirlenir. SureLogmevcut alarm yönetimi özellikleri kullanıcıya hazır şablonlar sunuyordu zaten. Mevcut alarm şablonları: A Process has Exited [Windows] Account Database Change [Windows] Active Directory is started [Windows] Active Directory is stopped [Windows] An ISA Service failed to start [Windows] Application installed successfully [Windows] Application uninstalled [Windows] Audit Logs Cleared [Windows] Audit Policy Changed [Windows] Bad Disk sector detected [Windows] Cache initialization fail for ISA [Windows] Chasis Intrusion [Windows] Computer Account Changed [Windows] Computer Account Created [Windows] Computer Account Deleted [Windows] Disk restriction in place for ISA Server [Windows] DNS Server Started [Windows] DNS Server Stopped [Windows] DNS Server timed out [Windows] DNS Server updated [Windows] DNS Zone shutdown [Windows] Domain Policy Change [Windows] EventLog Service Stopped [Windows] Failed Logins [Unix] Insufficient Memory Available [Windows] Memory Dump saved [Windows] Network Adapter Connected [Windows] Network Adapter Disconnected [Windows] New Process Created [Windows] Norman Antivirus found infected file [Windows] NTDS database engine is started [Windows] NTDS database engine is Stopped [Windows] NTDS defragmentation is complete [Windows] NTDS defragmentation is started [Windows] Object Deletion Failure [Windows] OS is shutting down [Windows] OS is starting up [Windows] Printer Added [Windows] Printer Created [Windows] Replacing System file attempted [Windows] Starting File Replication Service [Windows]
Successful CRON Jobs [Unix] Successful FTP Log-offs [Unix] Successful FTP Log-ons [Unix] Successful Password Resets [Windows] Successful User Log-ons [Unix] Successful User Logoffs [Windows] Successful User Logons [Windows] System Resources Exhausted [Windows] Unsuccessful Login Attempts [Windows] User Account Disabled [Windows] Windows install operation [Windows] Yukarıdaki hazır şablonlar dışında ayrıca kullanıcıya kelime bazlı alarmlar oluşturma imkanı sunulmakta idi. Bu yeni kural motoru ile hem korelasyon kuralları hem alarmlar oluşturabilmek için yeni ve daha esnek ve güçlü bir altyapı sunuluyor. Kullanıcının yapabilirliklerinin önündeki sınırlar tamamen kaldırılmış oluyor.mesela a) Kullanıcı normalize edilmiş logları istediği yere kopyalayabilir,taşıyabilir,silebilir vs.. b) Karmaşık alarmlar oluşturabilir. c) Loglar arasında korelasyon oluşturabilir. d) Gelen loga göre yeni kayıtlar oluşturabilir e) Vs
SURELOGKorelasyon modülü özellikleri: Script ve JAVA dillerini desteklemektedir JSR94 Çok esnek kural oluşturma yapısı Rule Base Complex Event Processing(CEP) Forward Chaning Backward Chaining Kural oluşturma ve kural yazma yöntemleri uluslararası formatlarda olup yazım kuralları ve kural geliştirme yöntemleri uluslararası standartlardır.dolayısı ile hem destek hem de öğrenilen bilginin global olması noktasında da avantaj sunur. Tamamen ulaslararası standartlarda bir kural Veritabanı JAVA API Kural Örnekleri 1 dakika içerisinde aynı kaynaktan 15 den fazla deny/reject/drop olursa uyar 5 dakika içerisinde aynı kaynaktan 3 den fazla IPS logu gelirse uyar
5 dakika içerisinde aynı kaynaktan 3 den fazla Virus logu gelirse uyar 1 dakika içerisinde aynı kaynaktan farklı 50 veya daha fazla farklı ip ye trafik olursa uyar Yeni bir kullanıcı oluşturulur ve bu oluşturulan kullanıcı ile erişim yapılmaya çalışılıp başarısız olunursa uyar Aynı kullanıcıdan 3 den fazla başarısız erişim olup sonrasında başarılı erişim olursa bu brüte force atack olasılığıdır ve uyar Administrators grubuna kullanıcı eklenirse uyar Aynı kullanıcı ile 1 dakikada 5 den fazla başarısız erişim olursa uyar(kullanıcı bilgileri ile birlikte) Aynı kullanıcı 60 dakikada 50 den fazla sistemlere login olursa uyar(kullanıcı bilgileri ile birlikte) Aynı kaynak IP den 3 veya daha fazla başarısız erişim ve hemen ardından başarılı erişim olursa uyar. Web sunucuya cgi, asp, aspx, jar, php, exe, com, cmd, sh, bat dosyaları uzak lokasyondna işletilmek üzere gönderilirse uyar İstenmeyen uygulamalar (Teamviewer, LogmeIn, Nmap, Nessus) çalıştırıldığında uyar Spam yapan kullanıcıyı tepit et.(saatte 60 den fazla mail gönderen kullanıcıyı tespit et) Spam yapılan kullanıcıyı tepit et.(saatte 25 den fazla mail alan kullanıcıyı tespit et) Gözetlenen log kaynağı son 1 saat içerisinde log göndermezse uyar Mesai saatleri dışında sunuculara ulaşan olursa uyar W32.Blaster Worm: Eğer 1 dakika içerisinde 10 adet deny veya kullanıcı adı olmayan başarılı login loğu gelirse uyar Genişletilmiş Kurallar ve Senaryolar Örnekleri Hedef:445 nolu port ataklarını tespit etmek Gereksiz yanlış atak loglarından kurtulmak isteniyor 5 dakikalık sürede an az 1 düzine atak logu gelmesini isteniyor 1 saatlik periyodda en az 100 atak logu 4 saatlik bir periyodda 200 atak logu isteniyor Kural: Hedef:Windows makinelere brute force login ataklarının tespit etmek
60 Saniye boyunca Windows makinelere login denemesi yapılmış ve fail etmiş iplerin listesinin bulunması ve Bu kuralda firewall ve/veya gateway den gelen trafik logları ile Windows event loglarının korelasyonunun yapılması isteniyor. Hedef: Ağdaki kötü niyetli yazılımlarının tespiti. Bilinen: yazılım insandan çok daha hızlı parola denemesi gerçekleştirir Senaryo: Kimlik doğrulama denemesi saniyede 1 den fazla gerçekleşiyorsa (1) (1) durumu art arda 5 defa gerçekleşiyorsa Bilgilendir/ müdahale et Tek kaynaktan alınan kayıtların sayısı ve gerçekleşme zamanı ilişkilendirilmiştir. Hedef: Veri tabanına varsayılan kullanıcı isimleri ile giriş denemelerin tespiti. Saldırgan internetten kurumsal IP uzayında tarama yaparsa (1) IDS veya güvenlik duvarından alınan kayıtlar (1) i gerçekleştiren açık portları kullanarak güvenlik duvarından geçerse Güvenlik duvarından alınan ACCEPT kaydı (1) i gerçekleştiren veritabanına belli kullanıcı isimleri ile giriş yapmaya çalışırsa Veri tabanından alınan LOGON ATTEMPT kaydı Bilgilendir/ müdahale et Birden fazla kaynaktan alınan kayıtlarda aktör,eylem ve zaman bilgileri ilişkilendirilmiştir İletişim Bilgileri Doğu Mah. Bilge sok. No=2 Kat= 5 Daire= 4 Pendik/İstanbul Tel : 0216 3540580 0216 3540581 Fax : 0216 3540580 info@anetyazilim.com info@anetyazilim.com.tr www.anetyazilim.com www.anetyazilim.com.tr