＞Jak se neztratit v záplavě logů1. listopadu 2016 - Anect Security Day

Miroslav Knapovský CISSP, CEH, CCSK

Security Solution Architectknapovsky@logmanager.cz

Nějak se nám to tady množí…__

4. listopadu 2016 / Strana 2

Světová populace

Roků k další miliardě

RokMiliard

obyvatel

- 1800 1

127 1927 2

33 1960 3

14 1974 4

13 1987 5

12 1999 6

12 2011 7

14 2025* 8

*optimistický výhled Zdroj: wikipedia.org

Nějak se nám to tady množí…__

4. listopadu 2016 / Strana 3

Množství logů ve firmě

Zaměstnanců EPS Dní do Miliardy logů

250 200 125

500 500 50

1000 700 35

3000 1500 15

Plánováníkapacity?

＞~ 3000 zaměstnanců

＞~ 1000 zdrojů / 3000+ EPS / 120 GB logů denně

＞~ Miliarda logů za týdenZdroj: ČT 09/16

Proč se sběrem/pochopením logů zabývat ? ＞Praktické / provozní důvody

Logy uložené na různých zařízeních nebo vůbec

Velikost jednotlivých log souborů a jejich rotace

Nejde centrálně vyhledávat

＞Bezpečnostní důvody

Korelace – statistické, bezpečnostní

Nebezpečí modifikace logů

Přehled o anomáliích, incidentech

＞Zákonné důvody

Zákon o kybernetické bezpečnosti - § 23

General Data Protection Regulation od května 2018

4. listopadu 2016 / Strana 4

LOGmanagerpředstavení

Schéma LOGmanager__

4. listopadu 2016 / Strana 6

WAN vzdálený sběr s šifrováním, QoS a bufferem

Forwarder

●●

UDP

TCP

DB

●●

Log4j/XML

Syslog NGSyslog

JSON File

CEF

LAN přímý sběr

Windows Event Sender

WES

LOGmanager

Buffer Parser 12/40TB Database

Aplikační engine

Prezentační rozhraní

CheckPoint, VMWARE, SQL

LOGmanager rozhraní__

4. listopadu 2016 / Strana 7

Přehled funkcí __

＞Dashboardy

＞Alerty

＞Reporty

＞Databáze zařízení

＞Systém práv

＞Vestavěné i zákaznicky vytvářené parsery logů

＞Agent pro Windows s filtrací irelevantních událostí

4. listopadu 2016 / Strana 8

LOGmanagerpříklady použití

LOGmanager – příklady použití __

SHODA S PŘEDPISY

Organizace vzhledem ke svému

působení potřebuje centrální

systém správy, analýzy a

reportování výstupů z

bezpečnostních zařízení,

operačních systémů a aplikací.

MONITORING

BEZPEČNOSTNÍCH ZAŘÍZENÍ –

SÍŤOVÁ BEZPEČNOST

Sledování a korelace výstupů ze

zařízení pro síťovou bezpečnost

jako jsou firewally, IDS/IPS

systémy, bezdrátové sítě,

systémy na vzdálený přístup,

proxy a podobně.

Statistiky VPN, konfigurace VPN,

aktivita připojování.

Statistiky a reporty Web Content

Filtering.

SLEDOVÁNÍ KONFIGURAČNÍCH

ZMĚN

Kdo, kdy a s jakým výsledkem

provedl nebo se pokoušel provést

konfigurační změny v zařízeních.

4. listopadu 2016 / Strana 10

LOGmanager – příklady použití 2 __

ZATÍŽENÍ FIREWALLU

A KONTROLA EFEKTIVITY

POUŽITÝCH PRAVIDEL

Která pravidla nejvíce zasahují.

Která pravidla jsou neefektivní.

Kde jsou slabá místa

zabezpečení – audit existujících

FW pravidlech.

Identifikace komunikačních toků a

podklady pro úpravu pravidel.

INFORMACE SOUVISEJÍCÍ

S OVĚŘOVÁNÍM DO SÍTĚ

NETWORK LOGIN DLE 802.1X

Operační analýza podpory

nasazování a provozování

ověřování přístupu do sítě.

Audit logy úspěšných a

neúspěšných přihlášení.

PORUŠENÍ BEZPEČNOSTNÍCH

PRAVIDEL

Komunikace s nepovolenými SMTP serveryMonitoring P2P sítí.Přístup uživatelů na nepovolené weby – WebFiltering.Podezřelé aktivity s otvíráním příliš velkého počtu spojení (SSH. Web. SMTP).Kontrola přístupu mimo proxy(servery, lidé)Dodržování komunikační politiky mezi segmenty sítě.Pokusy o přístup mimo povolené služby, protokoly.

4. listopadu 2016 / Strana 11

Blokovaný účet správce AD__C

OLL

ECT

PR

OC

ESS

AC

T

Přepínače

WLAN Servery

Routery FW

VPN

Web aplikace

SíťováSystémy

Bezpečnostní

Aplikace

IPS

Anti…Stanice

Email

Databáze

SandBox

…Virtualizace AD CRM

V grafickém rozhraní dashboard Windows Logon Event najít logon fail příslušného uživateleIdentifikovat službu, která používá lokálního uživatele

Předat překvapenému administrátorovi informaci, že na serveru XY běží pod lokálním uživatelem danou službu

FlowMon

Snímek obrazovky z akce

LOGmanagerparametry, konkurence

a roadmap

Podporovaná zařízení__

HARDWARE:

Brocade SAN, Cisco (ASA, WLC), FortiNet (FG,

FML, FA), H3C, HP (ComWare i ProCurve),

CheckPoint, Juniper SRX, Kernun, Trapeze wifi,

UBNT (Rocket, Unifi)

SOFTWARE:

Apache web server, Cisco IOS, CEF, CEF

TippingPoint SMS, Novell eDirectory, CompuNet

GAMA, HP iLo 4, HP iMC, Kerio Connect, SAP,

AV (Eset, Avast, AVG), VMware

WINDOWS:

ESET Remote Administrator, Microsoft Windows

IIS, Microsoft Windows firewall, Windows Avast

Antivirus, Windows 7, 8, Server 2008, 2012 audit

log (WES), Windows – any logs from Event

Viewer, Windows – any text log from file

LINUX:

Freeradius, ISC Bind, ISC DHCP, SSH

4. listopadu 2016 / Strana 15

Parametry––

＞Trvalý příjem 2.000 nebo 6.000 eventů za sekundu (dle modelu)

＞Podpora clusteringu.

＞Neomezený počet zdrojů.

＞V základu uložení 12/40TB logů se snadným škálováním výkonu i

úložné kapacity.

＞Snadný a přehledný systém licencování. – Ž Á D N É L I C E N C E

＞Přímá technická podpora výrobcem v českém jazyce.

4. listopadu 2016 / Strana 16

SIEMSEM

2014 2015 2016 2017 2018

PARSERY – průběžné aktualizace a doplňování SYSTÉM – zvyšování výkonu a optimalizace

Vývoj LOGmanageru––

Behaviorální analýza

Detekce vzorů (útoky)

Datacenter security

Spouštění skriptů

dle události

Sjednocování identit

Filtrace

Statistiky

Databázový stroj

Parser engine

Databáze zařízení

Podpora CEF

WES – Windows Event

Sender s filtrací

irelevantních událostí

DNS Resolver

Alerty

Reporty

Přístupová práva

Kategorizace zařízení

Kategorizace událostí

Šifrování uložených dat

Event correlator v

reálném čase

Uživatelské parsery

Archivace na externí

úložiště

Export událostí v CEF,

JSON, LEEF

Retence dat

Rozšíření Event

Correlator

Příjem SNMP událostí

Virtuální konektory

4. listopadu 2016 / Strana 17

Srovnání s konkurencí

www.logmanager.cz / Strana 18

LOGMANAGER

• hardware a implementace v ceně pořízení

• žádné licenční omezení

• rychlá implementace (dny)

• nízké náklady na provoz

• základní funkce SIEM

• uživatelsky přehlednější a intuitivnější ovládání

• předfiltrování a forward logů v nativním formátu ArcSight/Qradar (CEF/LEEF)

ARCSIGHT, QRADAR

• vysoká pořizovací cena

• složitá licenční politika

• zdlouhavá implementace (měsíce)

• vysoké náklady na provoz

• rozšířené funkce SIEM, omezený výkon

• náročné ovládací rozhraní vyžadující velké znalosti administrátora

Srovnání s konkurencí

www.logmanager.cz / Strana 19

konkurenční systémy postavené na ElasticSearch

LOGMANAGER

• žádné licenční omezení

• rychlá implementace (dny) All in oneřešení

• základní funkce SIEM

• neumožňuje mazání logů

• vlastní klient pro Windows -jednoduchá správa

KONKURENČNÍ SYSTÉMY

• různé licenční podmínky

• složitá implementace (týdny)

• systémy nefungují jako appliance, ale jako dodělej/dokonfiguruj si sám

• pouze logmanagement

• lze mazat logy

Srovnání s konkurencí

www.logmanager.cz / Strana 20

konkurenční systémy postavené na ElasticSearch

LOGMANAGER KONKURENČNÍ SYSTÉMY

• jedno uživatelské rozhraní

• široké možnosti filtrování, reportů a alertů

• přístupová práva

• předpřipravené dashboardy

• propracovaný systém standardizace logů

• široký počet podporovaných zařízení

• RAID 6 ochrana dat

• systémy jsou složeny z více softwarových aplikací, které mají jiné ovládací rozhraní

• absence alertů, reportů

• absence přístupových práv

• absence dashboardů

• Konfigurační chybou správce je systém možno rozbít

• Virtuál - nízký výkon, cena HW

Reference––

Česká televize – možnost referenční návštěvy

Česká zemědělská univerzita

Ostravská univerzita

Městská část Praha 3

Státní zemědělský intervenční fond

Krajská zdravotní a.s.

Vojenské lesy a.s.

4. listopadu 2016 / Strana 21

www.compunet.cz

LOGmanager – poslední slide ;-)_

4. listopadu 2016 / Strana 22

＞Plní požadavky Zákona o kybernetické bezpečnosti, GDPR a ISO/IEC 27001.

＞Uschování logů pro předložení organizacím zabývajících se bezpečností CESNET CERST a CIRST nebo Policii ČR.

＞Sběr logů pro řešení bezpečnostních incidentů i provozních problémů.

＞Centrální přehled s grafickou prezentací –Dashboardy.

＞Intuitivní a rychlé vyhledávání.

＞Forenzní analýza.

＞Alerty, reporty.

＞Korelace událostí.

＞Sjednocení formátu logů.

＞Dlouhodobé uložení se zálohováním do NFS

＞Podpora clusteru v základu.

＞Centrální úložiště logů.

A to vše bez licencí, v češtině a na výkonném hardware s výměnou do příštího pracovního dne.

Děkuji za pozornost

Vývojář: Sirwisa a. s. www.sirwisa.cz

Distribuce: Veracomp s. r. o. www.veracomp.cz

www.logmanager.cz

Miroslav Knapovský CISSP, CEH, CCSK

Security Solution Architect

knapovsky@logmanager.cz