Your SlideShare is downloading. ×
0
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Презентация Фатих
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Презентация Фатих

733

Published on

Log management

Log management

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
733
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. My Blog Fatih DEMIREL 5. Cl Master D. 9301 Log Management www.fatihdemirel.com Prof. Stefan Drazhev www.drazhev.com Thanks for the support
  • 2. Log източници Целта на Log management Процеси на Log management Стандарти Грешки в Log management Какво е Log? Съдържание Постижения
  • 3. Повечето приложения или компютри с различни формати записват процеси, които се правят, за да се информират потребителите,като тези данни, които са записани се наричат Log . Какво е Log ?
  • 4. Целта на Log management проектите е клиенти, сървъри и firewall устройства, които произвеждат лог файлове, да събира данни и да ги конвертират с по-разбираемо значение . Аз ще направя база данни, с които може да се извеждат данни за обяснение на логовете. Когато срещнем грешки в системата ни и търсим решение ще можем да въведем event id и source и да намерим решение. Целта на Log management
  • 5. <ul><li>Защитна стена </li></ul><ul><li>Системи за усещанеблокиране </li></ul><ul><li>Network апарати </li></ul><ul><li>Сървър, PC и Laptop </li></ul><ul><li>Приложении (SharePoint, IIS, Exchange) </li></ul>Какво са източниците на Log ?
  • 6. <ul><li>Бази данни (MsSQL, MySQL ) </li></ul><ul><li>Антивирус програми </li></ul><ul><li>VPN </li></ul><ul><li>Usb, CD </li></ul><ul><li>Proxy приложении </li></ul>Какво са източниците на Log ?
  • 7. Логовете преди се използваха, за да се решават системни проблеми, но днес логовете се вземат за стандарти и защита. Като FISMA, HIBAA, SOX, COBIT, ISO 27001 международните стандарти са направили задължително управлението на логове. * Kогато не ви е ясно логове можете да разгледате еvent id от този сайт http://www.eventid.net/ Стандарти
  • 8. Има много програми, които ни дават професионална помощ като infraskope, event log explorer, log parser, които дават възможност да изследваме логовете на системата ни. Аз ще анализирам продукта Infraskope, който е създаден от фирмата на Karmasis. Infraskope от много време дава решение на средни и големи фирми. С лесна инсталация, интеграция и ефективност дава на фирмите голямо удобство. Log management programs
  • 9. <ul><li>-Само системни администратори могат да разглеждат и анализират(създава риск) </li></ul><ul><li>-Изобщо без да се разглеждат се изтриват </li></ul><ul><li>-Краткосрочно записване на логове или отделяне на малко пространство за log- файлове </li></ul><ul><li>-Не се анализират или само когато има проблем се разглеждат </li></ul><ul><li>-Игнориране на логове в приложенията </li></ul>Грешки в log management
  • 10. Log Management процеси
  • 11. Информацията на hash (резюме) от Получаваните лог файлове трябва да бъде с точно време подписано и архивирано. Защото системните администратори или други могат да променят лог файловете и ние трябва да докажем ,че не са променени. Time сървърите могат да бъдат пак променени. Можете да използвате услугите на фирмите, които предлагат да подписват с време данните ви. Време за печат
  • 12. <ul><li>То се променя в съответствие със законите и стандартите,но </li></ul><ul><li>общоприетото време е 90 дена за онлайн логовете и година за запазване на архивите . </li></ul>За колко време трябва да запазим логовете?
  • 13. <ul><li>Един от най-големите проблеми за анализиране на log-файлове е колко пространство ще отделим за логове в системата ни и колко логове произвежда. По принцип се правят грешки и се мисли, че не е толкова важно да се запазят дълго време log-файловете , затова не се отделя достатъчно пространство. </li></ul>Дисковото пространство
  • 14. <ul><li>За една година средно дисково пространство се изчислява; </li></ul><ul><li>365 ден x 24 час x 3600 секунди x 100 x 200 byte = 580~ gigabyte / г. Разбира се, тази стойност е некомпресирани сурови данни. Е, тази стойност се намалява с компресия. Ако използвате базата данни дневници трябва да умножите това число по 2-3. </li></ul>Дисковото пространство
  • 15. <ul><li>В тези категории са Router, switch, wireless, VPN системи, firewall и IPS и в тези системи обикновенно няма да има възможност да се инсталират допълнителни програми за това се използва syslog, за да изпраща log-файлове. </li></ul>Управление в апарати на мрежи и защита
  • 16. <ul><li>В база данни вземане на log-файлове се предпочита с два начина едното използване на инфрастрактура на audit ,а другата е система на анализиране пасивно трафика на бази данни в сървъра и да се запази в смислен начин. Избиране на начина трябва да се направи според изискванията на бази данни. Ако имате притеснение за въздействието можете да избирате пасивно вземане на log- файлове. </li></ul>Вземане на log-файлове в бази данни
  • 17. -кои компютри имат най-голяма мрежова активност(симптоми на (вируси, троянски коне) -кой какви документи изпраща чрез Msn, icq, skype... -Анализиране на перформанс -Откриване на успешни и неуспешни достъпи Постижения
  • 18. <ul><li>-Незабавно събиране на доказателства за разкриване на нарушенията и </li></ul><ul><li>осигуряване </li></ul><ul><li>-проследява се кой използва без лиценз програми и операционни системи </li></ul><ul><li>- Хармония на FISMA, HIBAA, SOX, COBIT, ISO 27001 международните стандарти и закони </li></ul>Постижения
  • 19. <ul><li>-корпоративни закони и стандарти </li></ul><ul><li>-кой има достъп с Vpn връзка и по кое време </li></ul><ul><li>-откриване на оторизиран и не оторизиран достъп </li></ul><ul><li>-Проследяване на В файл сървър ,достъп до критични файлове и дейности </li></ul><ul><li>( изтриване, създаване, променяне на собствеността) </li></ul>Постижения
  • 20. <ul><li>-С Вземането на логове от приложения на ESX и т.н., се определя кой създава </li></ul><ul><li>сървъра, изтрива го или го изключва </li></ul><ul><li>-Определяне като trojan приложения които работят от страна на клиентите </li></ul><ul><li>-Проследяване на кои потребитети, по кое време и в кои компютри са online </li></ul><ul><li>-Изчезва риска от изтриване на логове </li></ul>Постижения
  • 21. <ul><li>-Намираме с кой принтер е разпечатано и от кого </li></ul><ul><li>-Кой иска достъп и с кой порт и компютър </li></ul><ul><li>-В архитектурата на печат сървъра- какво се разпечатва и в кое устройство </li></ul><ul><li>-Проследяване на потребителите по всяко време и с кои компютри работят </li></ul><ul><li>-Незабавно разкриване на нарушенията и осигуряване на събирането на доказателства </li></ul>Постижения
  • 22. <ul><li>-Изследване на достъпа до критични файлове </li></ul><ul><li>-Рискът от загуба и изтриване на досиета изчезва </li></ul><ul><li>-Проследяване на Системните администратори (в големите фирми трябва да се открива друг отдел за изследване на логове освен системните администратори. Защото логовете могат да се променят). </li></ul><ul><li>-кой какво купира с usb дискове </li></ul>Постижения
  • 23. <ul><li>-Проследяването на промените Хардуер, IP, име на хост </li></ul><ul><li>-Проследяването на програми като Msn, icq, skype </li></ul><ul><li>-Могат да бъдат записани VoIP разговори </li></ul><ul><li>-Определяне на приложения, с които работи клиента като sniffer (cain, wireshark) </li></ul><ul><li>-Кои са направили port scan </li></ul><ul><li>-Кои потребители използват P2P (Emule, Kazaa v.s) приложения </li></ul>Постижения
  • 24. ( P2P (Pear to Pear) е технология, позволяваща потребители от цял свят да обменят информация помежду си - директно от един към друг компютър. В случая, както е показано на картинката. Връзката м/у компютрите се осъществява чрез специален сървър, който играе ролята на свързваща точка. Самата информация не минава през сървъра, а директно м/у потребителите. Постижения
  • 25. -Като вземем log-файлове в Mail сървър, ще открием кой, кога и на кого е изпратил маил -С вземане на IIS логове, ще проследяваме достъпи до фирмени уеб страници -С вземане на Call Center логове , ще можем да извадим рапорти кой, кога и от къде се е обаждал. (Банки, GSM оператори) Постижения
  • 26. -С вземане на Tmg, Websense т.н. логове, ще може да се изпращат доклади на управители за достъпа на уеб страниците (facebook, cnn…) -Анализиране на логове за програми за отдалечен достъп и да разгледаме кой и на кой компютър е достъпен ( Radmin, CA Remote т.н.) -С вземане на Firewall логове, можем да анализираме какви атаки се получават в кои ip адреси Постижения
  • 27. <ul><li>- При анализиране на Antivirus логове , ще можем да разгледаме данните за </li></ul><ul><li>вирусите. </li></ul><ul><li>-С вземане на сървър security логове се открие кои сървъри , кои и кога се </li></ul><ul><li>свързани ( RDP) </li></ul><ul><li>-С вземане на Mail security логове се откриват изпращачи на spam </li></ul>Постижения
  • 28. <ul><li>-Router, switch т.н. мрежови апарати с начина на syslog, snmp вземането на логове откриваме неоторизирани достъпи </li></ul><ul><li>-Domain control и локалните потребителски акаунти се изследват, за да проследяват промените на груповите свойства (добавяне на потребители на domain admin група) </li></ul><ul><li>-Приложения,в които има идентифициране с потребителско име и парола за Електронна търговия, Интернет клон и др се определя с атака на паролите (в 5 мин пробваме парола повече от 100 пъти) </li></ul><ul><li>- Log- файлове на Web дейности </li></ul>Постижения
  • 29. За повече информация… [email_address] www.fatihdemirel.com Благодаря за вниманието
  • 30. ? Въпроси

×