Bonasus plus bilgi_güvenliği_yönetimi
Upcoming SlideShare
Loading in...5
×
 

Bonasus plus bilgi_güvenliği_yönetimi

on

  • 1,870 views

 

Statistics

Views

Total Views
1,870
Views on SlideShare
1,870
Embed Views
0

Actions

Likes
1
Downloads
18
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Bonasus plus bilgi_güvenliği_yönetimi Bonasus plus bilgi_güvenliği_yönetimi Presentation Transcript

  • ANET Bonasus Plus 2011 Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011
  • Bonasus PlusBonasus Plus İşlevleri: •Log Yönetimi •5651 ve Diğer Standartlara Uyumluluk: •Sox, Cobit, HIPAA, GLBA, ISO 27001 ve diğerleri •Güvenlik standartlarına ve ilgili yasalara uyumluluk •Kurumsal politikaların daha etkili kullanılması •Kurumsal kurallara aykırı davrananların tespiti •Toplam sahip olma maliyetinin azaltılması
  • Bonasus PlusLog Yönetiminin Önemi ve Bonasus PlusSon zamanlarda birçok şirket sistemlere yapmış oldukları yatırımlardan daha cok verim alabilmek icinLog Yonetimi üzerine yogunlaşmiş durumdadırlar ve bu şirketlerdeki IT departmanları da Log Yonetimisayesinde verimliliği arttırmaktadırlar.Son zamanlarda birçok şirket sistemlere yapmış oldukları yatırımlardan daha cok verim alabilmek icinLog Yonetimi üzerine yogunlaşmiş durumdadırlar ve bu şirketlerdeki IT departmanları da Log Yonetimisayesinde verimliliği arttırmaktadırlar.Son zamanlarda kanunlar da Log Yonetimi konusuna onem vermektedirler. Log Yonetimi ornegin PCIdenetimi sirasindaki yukumluluklerin karsilanmasi konusunda gereklidir. Sorumlu olduklari denetimlericin Log Yonetimi yapan sirketler bu loglar sayesinde sistemlerinde farkinda olmadiklaribir cok sorunu da tespit etmektedirler.Yonetim seviyesinde duyarliligin artmasina faydali olan Log Yonetimi sayesinde sirketler daha verimlive saglikli bir ag yapisina sahip olurlar.Sonuc olarak Log Yonetimi sistemlerin cokmesine sebebiyetveren sorunlarin evvelden tespit edilerek sistemlerin daha guvenli calismasina ve sistemlerin daha azcokmesini firsat verir.ReferansSANS Log Survey Raporları View slide
  • Bonasus Plus- Bilgi Güvenliği •Bilgi güvenliği ihlalleri ve vakaları arttıkça log yönetiminin önemi ve gerekliliği daha iyi anlaşılmaktadır. •ISO 27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır. •COBIT, ISO-27001 ve PCI log yönetimine özel vurgu yapmaktadır View slide
  • Bonasus Plus- Bilgi GüvenliğiBüyük ölçekli şirketlerin 2009 yılı güvenlik bütçesindeki enbüyük payın loglama sistemlerine ait olduğu bilgisi logyönetiminin gittikçe artan önemini kanıtlar niteliktedir.
  • Bonasus Plus- Bilgi Güvenliği kullanıcılar ve sistemler için Politika Belirle ve Uygula Güvenli BT Saldırılara ve ihlallere Altyapısı kullanıcılar ve karşı sistemler için Proaktif Koruma Merkezi Erişim Denetimi Komuta ve Kontrol Belirlenen Sıradışı durumları saldırıları ve Yanıtla ve saldırıları Çöz Tespit Et
  • Temel Log Yönetimi Aktiviteleri• Üretim• Toplama• Depolama• Raporlama• İlişkilendirme• Özetleme• Alarm üretimi• Arşivleme
  • Bonasus Plus
  • Bonasus Plus
  • Teknik Özellikleri:•Dağıtık mimariye sahip•Herhangi bir etmen(agent) kurulumu gerektirmez. Ürün herhangi birajan/etmen ihtiyacı olmadan Windows event loglarını toplar•Platform Bağımsız . •Motor (Engine)Java ve Arayüz PHP•WEB Tabanlı•Çok Kullanıcılı•Yetki Tabanlı Kullanıcılar•Sistem Auto Control •Sistem log kaynaklarından log toplamada yada gelen logların EPS değerlerinde değişiklik olması durumunu algılayıp uyarabilir •Tanınmayan logları algılayıp uyarabilme
  • Teknik Özellikleri:•Güvenlik ve Network Cihazları ile AD entegrasyonu sağlar •Firewall loglarını Kullanıcı Adı ve Bilgisayar adı ile birlikte görüntüleyip rapor oluşturabilir ve filtreleyebilir •Gelişmiş Korelasyon Yeteneği Olaylar ile ilgili log toplama, ilişkilendirme, normalleştirme ve sınıflandırma işlemlerini yapabilir Olay tipleri hızlıca ortak değerlere göre sınıflandırılabilir tamamen farklı kaynaklardan gelen bilgilerde ilişkilendirme yapılabilmelidir. (Örn: Farklı üreticilerin saldırı tespit sistemlerinden ve güvenlik duvarlarından gelecek olan port taraması, tek bir port taraması olarak değerlendirip, sınıflandırılabilir)
  • Teknoloji:•Uzun seneler yapılan AR-GE ile oluşturulan bilgi birikimi: •Ertuğrul Akbaş, Yerel Alan Ağlarında Paket Analizi ile Güvenlik Taraması, ", Ağ ve Bilgi Güvenliği Ulusal Sempozyumu, Mayıs,2008, Girne, KKTC. •Ertuğrul Akbaş "Topolojik Bağımlı Otomatik Sistem Güvenliği Tarama Yöntemi", ISC07 Bilgi Güvenliği ve Kriptoloji Konferansı, 13-14 Aralık,2007, Ankara, Turkiye. •Ertuğrul Akbaş , Hata Yönetimi için Zeki Keşif ve Topoloji Oluşturma Yöntemi ", Ağ ve Bilgi Güvenliği Ulusal Sempozyumu, pp 157-163, 9-11 Haziran,2005, Istanbul, Turkiye. •Ertuğrul Akbaş, Topolojik Bağımlı Otomatik Sistem Güvenliği Tarama Yöntemi, http://www.olympos.org
  • Teknoloji:•AR-GE •E. Akbas, "System Independent And Distributed Fault Management System", The Eighth IEEE Symposium on Computers and Communications,30 June-3 July 2003, Antalya, Turkey. •E. Akbas, "Web Based Management: A Novel Architecture ", The Sixteenth International Symposium on Computer and Information Sciences (ISCIS XVI), October, 29-31, 2001, Antalya, Turkey •E. Akbas, E. Murat Esin, "SEAMLESS INTEGRATION OF NETWORK MANAGEMEN PROTOCOL WITH DISTRIBUTED CONTROL", The IJISIP Proceedings (ISSN: 1304-2386), Volume: 1, Number :1, July 2003, International XII. Turkish Symposium of Artificial Intelligence and Neural Networks (TAINN 2003).
  • Teknoloji:•AR-GE •H. Gümüskaya, T. Dursun, E. Akbas, O. Davulcu, "A CORBA and Java Mobile Agent Based Network Management Architectures", International Symposium on Computer and Information Sciences XIV (ISCIS14), pp. 975- 982, October 18-20, 1999, Kusadasi, Izmir. •H. Gümüskaya, E. Akbas, T. Dursun, O. Davulcu, "Utilization of CORBA, Mobile Agents, Java, and Web Technologies for Network Management", Reginal Conference on Millitary Communication and Information Systems 99, October 6-8 , 1999, Zegrze, Poland.
  • Teknoloji:•AR-GE •Ertuğrul Akbaş, Topolojik Bağımlı Otomatik Sistem Güvenliği Tarama Yöntemi, http://www.olympos.org •Ertuğrul Akbaş , Bilgi Güvenliği, http://www.olympos.org •Ertuğrul Akbaş, Yerel Alan Ağlarında Paket Analizi ile Güvenlik Taraması, http://www.olympos.org •E. Akbas, C. Ersoy, "Multi Constarint Path Finder Algorithm", The Fifteenth International Symposium on Computer and Information Sciences ( ISCIS XV), October, 11-13, 2000, ISTANBUL, Turkey . • •H. Gümüskaya, T. Dursun, E. Akbas, O. Davulcu, "A CORBA and Java Mobile Agent Based Network Management Architectures", International Symposium on Computer and Information Sciences XIV (ISCIS14), pp. 975- 982, October 18-20, 1999, Kusadasi, Izmir. •
  • Log Kaynakları? •İşletim Sistemleri: •Windows XP/Vista/7 •Windows Server 2000/2003/2008/R2 •Unix/Linux Türevleri •Nas Cihazları (NetApp) •Uygulamalar: •Dhcp •IIS 6/7/7.5 (W3C) •Apache (Syslog) •Text-Based Log (Csv/Tsv/W3C/Txt/Custom ) •Dansguardain •Postfix
  • Log Kaynakları? •Firewall / Proxy: •Kerio •Anchiva •ISA/TMG Server •Lucent •Applied Identity •BlueCoat •McAfee-Secure •ARKOON •3Com Computing •Aventail •Astaro •NetApp •AWStats •CheckPoint •NetFilter •Cimcor •Cisco Systems •Snort •DP Firewalls •Clavister •SonicWALL •Electronic Consultants •CyberGuard •Netopia •Global Technologies •D-Link •Network-1 •Ingate •Fortinet •St. Bernard Software •Inktomi •FreeBSD •Sun Microsystems •Lenovo Security •IPCop •WatchGuard Technologies •Juniper •Zywall •NetASQ •Drytek
  • Log Kaynakları? •Network Cihazları: •Syslog Gönderen Cihazlar •SNMP Trap Gönderen Cihazlar •Email: •Exchange 2003 •Exchange 2007 •Exchange 2010 •IIS SMTP •SendMail/Qmail ve Bezeri *nix Tabanlı Sistemler •Veritabanları •Oracle •MSSQL (*)
  • Mimari?•Motor (Engine): Logları Toplayıp verileri veritabanınakaydeder ve önceden tanımlı otomatik faaliyetleri yerine getirir•Yönetim Konsolu: WEB Tabanlı Kullanıcı grafik arayüzü ileveritabanına ve engine ‘e bağlanarak genel sistemin yönetilmesinibilgilerin gösterilmesini ve analiz edilmesini sağlar
  • Mimari?
  • Mimari?•Performans •İşlenecek kayıt sayısına (EPS) e göre fiziksel kapasite arttırılabileceği gibi Motor Veritabanı Arayüz Farklı fiziksel veya sanal sunuculara eğitimli teknisyenlerce dağıtılarak performans optimizasyonu sağlamaya açık bir mimariye sahiptir.
  • Mimari?
  • Raporlar?Anahtar kontrol noktalarının raporlanması– Kullanıcı erişimleri– Kabul edilmemiş, sistem tarafından reddedilmiş erişimler, (bunlar uygulamalar,dosyalar gibi nesneler üzerinde de gerçekleşebilir,– Öncelikli yetkilere sahip kullanıcılar, (Administative, Root Access),– Yetkilendirme yetkisine sahip kullanıcı erişimleri,– Uzaktan bağlantılar (VPN, Uzaktan ve/veya kablosuz erişimler),– Sistem veya uygulama parametrelerinin değişimi,– Erişim yetki seviyelerinin değişimi,– Sistem özelliklerinin değişimi,– Sistem güvenlik yapısının bir parçası olan (AUDIT) mekanizmasının aktiveedilmesi, kaldırılması– Log kayıtlarına erişimler
  • Raporlar?
  • Raporlar?•Logon/logoff takibi•Başarısız oturum açma girişimi•Logların silinmesi•Kullanıcı hesabındaki değişikliklerin takibi•Kimlerin ağ üzerinden oturum açtığının belirlenmesi•Web sunucu üzerinde bulunan index.html dosyasındagerçekleşecek değişiklik,•Dhcp sunucu servisinin durması•v.b. 100 lerce hazır rapor
  • Raporlar?•Tamamen Görsel Raporlar•100 lerce Hazır rapor•Toplist Raporları
  • Raporlar?•Hazır Raporlar •Trafik Raporları •Firewall Raporları •Saldırı Raporları •Anti-virus Raporları •VPN Raporları •URL Raporları •Mail Raporları •WEB Sunucu Raporları •Proxy Raporları •DHCP Raporları
  • Raporlar?•Hazır Raporlar •Printer Raporlar •USB Raporları •Dosya Erişim Raporları •Logon/Logoff Raporları •Başarısız Logon Denemeleri
  • Raporlar?
  • Raporlar?•Hazır Raporlar •Veritabanı Raporları •Oracle, MSSQL(*)•HIPAA Uyumluluk Raporları •Kullanıcı Oturum Raporları (User Logon Report) •Başarısız Oturum Açma Raporları (Logon Failure Reports) •Güvenlik Kayıtlarına Erişim Raporu (Audit Log Access Reports •Nesne Erişim Raporları (Object Access Reports) •Sistem Olayları Raporu (System Events Report) •Oturum Durum Raporu (Host Session Status Report) •Başarılı Etki Alanı Oturum Açma Raporu (Domain Logon Repo •Başarısız Etki Alanı Oturum Açma Raporu (Domain Logon Fai •Güvenlik Kayıtlarının Arşivlenmesi (Security Log Archiving)
  • Raporlar?•SOX Uyumluluk Raporları •Kullanıcı Oturum Raporları (User Logon Report) •Başarısız Oturum Açma Raporları (Logon Failure Reports) •Güvenlik Kayıtlarına Erişim Raporu (Audit Log Access Reports •Nesne Erişim Raporları (Object Access Reports) •Sistem Olayları Raporu (System Events Report) •Oturum Durum Raporu (Host Session Status Report) •Güvenlik Kayıtlarının Arşivlenmesi (Security Log Archiving) •Oturum Durum Raporu (Host Session Status Report) •Hesap Yönetim Olaylarının Takibi •Kullanıcı Grup Değişikliklerinin Takibi
  • Raporlar?
  • Raporlar?•SOX Uyumluluk Raporları-Devam •Kullanıcı Grup Değişikliklerinin Takibi •Denetim Politikalarında Yapılan Değişikliklerin Takibi •Başarılı Etki Alanı Oturum Açma Raporu (Domain Logon Repo •Başarısız Etki Alanı Oturum Açma Raporu (Domain Logon Fai •Kullanıcı Hareketlerinin Takibi •Uygulama Çalıştırma Olaylarının Takibi •Dizin/Dosya Erişim Takibi
  • Raporlar?
  • Raporlar?•GLBA Uyumluluğu •Kullanıcı Oturum Raporları (User Logon Report) •Başarısız Oturum Açma Raporları (Logon Failure Reports) •Güvenlik Kayıtlarına Erişim Raporu (Audit Log Access Reports •Güvenlik Kayıtlarının Arşivlenmesi (Security Log Archiving)
  • Raporlar?•Hazır raporların hepsinde tek tıkla •En çok … kullanıcılar •En çok …. URL ler •En çok … IP ler •En çok … makine isimleri •En çok yapılan saldırı tipleri •En çok saldıran virüsler •Seçilen tarihler arasında rapor ve filtreleri oluşturma •Seçilen herhangi bir siteye ulaşanlar •Seçilen herhangi virüsün saldırdığı tarihler ve UTM yada AV sunucu tarafından yapılan işlemler •Vb…
  • Raporlar?•Bütün Raporlar •Liste •Grafik olarak alınabilir•Bütün Raporlar •PDF •CSV •TXT •HTML•Ayrıca Bazı Raporlar •Crystal Reports •MS Word •Rich Textolarak kaydedilebilir
  • Raporlar?
  • Raporlar?•Hazır Raporlar Haricinde Kullanıcı Kendi Raporlarını Tanımlayabilir
  • Örnek RaporlarLogon-Logoff
  • Örnek RaporlarLogon-Logoff
  • Örnek RaporlarLogon-Logoff-Addon
  • Örnek RaporlarSaldırı Raporları
  • Örnek RaporlarSaldırı Raporları-Grafiksel
  • Örnek RaporlarURL Raporları-Grafiksel
  • Örnek Raporlar5651-İmza
  • Yeni Rapor TasarlamaÖrnek: Uygulama Çalıştırma Olaylarının Takibi
  • Yeni Rapor TasarlamaÖrnek: Uygulama Çalıştırma Olaylarının Takibi
  • ANET Bonasus Plus-Addon
  • AddonBonasus Plus Eklentileri-Addon •Yazılım - Donanım Envanteri •Sistem Yönetimi ve Kullanıcı Raporları •Olay Günlüğü Yönetimi Eklentisi •Güvenlik Analizi
  • AddonBonasus Plus Eklentileri-Addon•Bu modüller Etki alanı (Aktive Directory/Domain)olmadan kurulamazlar•Bonasus Plus kurulu sunucudan erişilebilen (Desktop based GUI)arayüze sahiptirler
  • AddonEnvanter
  • AddonKullanıcı Yönetimi
  • AddonSistem Yönetimi
  • AddonSistem Yönetimi •Server Yönetimi •Bilgisayar Yönetimi •Uzak Makinede Bütün Olayların Yönetimi •Uzak Masaüstü Desteği •Diğer Komutlar •Server Monitoring
  • AddonOlay Günlüğü Yönetimi Eklentisi
  • AddonOlay Günlüğü Yönetimi Eklentisi •Gelişmiş raporlama özelliği sayesinde ağınız hakkında derinlemesine raporlar hazırlayabilirsiniz. •Üzerinde gelen yüzlerce hazır kural ve filtre anında kurulum ve kullanıma başlama imkanı sağlar. •Tüm loglar içerisinde büyük kısmı oluşturan önemsiz logların otomatik olarak silinebilmesi •Ağın durumunun grafiksel olarak gözlemlenmesi •Oluşan logların “event browser “ üzerinde hangi bilgileri görmek istiyorsak o alanlar seçilerek, daha sade ve anlaşılabilir hale getirebiliriz.
  • AddonGüvenlik Analizi
  • AddonGüvenlik Analizi •Cisco Pix/ASA , Cisco IPS, Snort IDS ve Microsoft Windows 2008/2003/Vista/XP loglarının görsel analizi ile saldırılar ve bu saldırı lokasyonlarını haritalar üzerinde GörebilirsinizÖrnek:Snort loglarını analiz ederek:<33> snort: [1:1421:11] SNMP AgentX/tcp request [Classification: Attempted Information Leak] [Priority: 2]: {TCP} XX.YY.XXX.YYY:39381 -> ZZ.XXX.YY.Y:7054Saldırının geldiği ÜlkeSaldırı tipi [SNMP SCAN]Ayrıca aynı saldırıyı yapan başka adresler var mı?
  • ANET YAZILIMDoğu Mah. Bilge Sok. No:2 Kat 5 Daire 4 Pendikİstanbul T: 0216 3540580 F: 0216 3540580ertugrul.akbas@anetyazilim.com.tr ertugrul.akbas@anetyazilim.com www.anetyazilim.com.tr www.anetyazilim.com