Презентация Фатих
Upcoming SlideShare
Loading in...5
×
 

Презентация Фатих

on

  • 893 views

Log management

Log management

Statistics

Views

Total Views
893
Views on SlideShare
890
Embed Views
3

Actions

Likes
0
Downloads
3
Comments
0

1 Embed 3

http://fatihdemirel.wordpress.com 3

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Презентация Фатих Презентация Фатих Presentation Transcript

  • My Blog Fatih DEMIREL 5. Cl Master D. 9301 Log Management www.fatihdemirel.com Prof. Stefan Drazhev www.drazhev.com Thanks for the support
  • Log източници Целта на Log management Процеси на Log management Стандарти Грешки в Log management Какво е Log? Съдържание Постижения
  • Повечето приложения или компютри с различни формати записват процеси, които се правят, за да се информират потребителите,като тези данни, които са записани се наричат Log . Какво е Log ?
  • Целта на Log management проектите е клиенти, сървъри и firewall устройства, които произвеждат лог файлове, да събира данни и да ги конвертират с по-разбираемо значение . Аз ще направя база данни, с които може да се извеждат данни за обяснение на логовете. Когато срещнем грешки в системата ни и търсим решение ще можем да въведем event id и source и да намерим решение. Целта на Log management
    • Защитна стена
    • Системи за усещанеблокиране
    • Network апарати
    • Сървър, PC и Laptop
    • Приложении (SharePoint, IIS, Exchange)
    Какво са източниците на Log ?
    • Бази данни (MsSQL, MySQL )
    • Антивирус програми
    • VPN
    • Usb, CD
    • Proxy приложении
    Какво са източниците на Log ?
  • Логовете преди се използваха, за да се решават системни проблеми, но днес логовете се вземат за стандарти и защита. Като FISMA, HIBAA, SOX, COBIT, ISO 27001 международните стандарти са направили задължително управлението на логове. * Kогато не ви е ясно логове можете да разгледате еvent id от този сайт http://www.eventid.net/ Стандарти
  • Има много програми, които ни дават професионална помощ като infraskope, event log explorer, log parser, които дават възможност да изследваме логовете на системата ни. Аз ще анализирам продукта Infraskope, който е създаден от фирмата на Karmasis. Infraskope от много време дава решение на средни и големи фирми. С лесна инсталация, интеграция и ефективност дава на фирмите голямо удобство. Log management programs
    • -Само системни администратори могат да разглеждат и анализират(създава риск)
    • -Изобщо без да се разглеждат се изтриват
    • -Краткосрочно записване на логове или отделяне на малко пространство за log- файлове
    • -Не се анализират или само когато има проблем се разглеждат
    • -Игнориране на логове в приложенията
    Грешки в log management
  • Log Management процеси
  • Информацията на hash (резюме) от Получаваните лог файлове трябва да бъде с точно време подписано и архивирано. Защото системните администратори или други могат да променят лог файловете и ние трябва да докажем ,че не са променени. Time сървърите могат да бъдат пак променени. Можете да използвате услугите на фирмите, които предлагат да подписват с време данните ви. Време за печат
    • То се променя в съответствие със законите и стандартите,но
    • общоприетото време е 90 дена за онлайн логовете и година за запазване на архивите .
    За колко време трябва да запазим логовете?
    • Един от най-големите проблеми за анализиране на log-файлове е колко пространство ще отделим за логове в системата ни и колко логове произвежда. По принцип се правят грешки и се мисли, че не е толкова важно да се запазят дълго време log-файловете , затова не се отделя достатъчно пространство.
    Дисковото пространство
    • За една година средно дисково пространство се изчислява;
    • 365 ден x 24 час x 3600 секунди x 100 x 200 byte = 580~ gigabyte / г. Разбира се, тази стойност е некомпресирани сурови данни. Е, тази стойност се намалява с компресия. Ако използвате базата данни дневници трябва да умножите това число по 2-3.
    Дисковото пространство
    • В тези категории са Router, switch, wireless, VPN системи, firewall и IPS и в тези системи обикновенно няма да има възможност да се инсталират допълнителни програми за това се използва syslog, за да изпраща log-файлове.
    Управление в апарати на мрежи и защита
    • В база данни вземане на log-файлове се предпочита с два начина едното използване на инфрастрактура на audit ,а другата е система на анализиране пасивно трафика на бази данни в сървъра и да се запази в смислен начин. Избиране на начина трябва да се направи според изискванията на бази данни. Ако имате притеснение за въздействието можете да избирате пасивно вземане на log- файлове.
    Вземане на log-файлове в бази данни
  • -кои компютри имат най-голяма мрежова активност(симптоми на (вируси, троянски коне) -кой какви документи изпраща чрез Msn, icq, skype... -Анализиране на перформанс -Откриване на успешни и неуспешни достъпи Постижения
    • -Незабавно събиране на доказателства за разкриване на нарушенията и
    • осигуряване
    • -проследява се кой използва без лиценз програми и операционни системи
    • - Хармония на FISMA, HIBAA, SOX, COBIT, ISO 27001 международните стандарти и закони
    Постижения
    • -корпоративни закони и стандарти
    • -кой има достъп с Vpn връзка и по кое време
    • -откриване на оторизиран и не оторизиран достъп
    • -Проследяване на В файл сървър ,достъп до критични файлове и дейности
    • ( изтриване, създаване, променяне на собствеността)
    Постижения
    • -С Вземането на логове от приложения на ESX и т.н., се определя кой създава
    • сървъра, изтрива го или го изключва
    • -Определяне като trojan приложения които работят от страна на клиентите
    • -Проследяване на кои потребитети, по кое време и в кои компютри са online
    • -Изчезва риска от изтриване на логове
    Постижения
    • -Намираме с кой принтер е разпечатано и от кого
    • -Кой иска достъп и с кой порт и компютър
    • -В архитектурата на печат сървъра- какво се разпечатва и в кое устройство
    • -Проследяване на потребителите по всяко време и с кои компютри работят
    • -Незабавно разкриване на нарушенията и осигуряване на събирането на доказателства
    Постижения
    • -Изследване на достъпа до критични файлове
    • -Рискът от загуба и изтриване на досиета изчезва
    • -Проследяване на Системните администратори (в големите фирми трябва да се открива друг отдел за изследване на логове освен системните администратори. Защото логовете могат да се променят).
    • -кой какво купира с usb дискове
    Постижения
    • -Проследяването на промените Хардуер, IP, име на хост
    • -Проследяването на програми като Msn, icq, skype
    • -Могат да бъдат записани VoIP разговори
    • -Определяне на приложения, с които работи клиента като sniffer (cain, wireshark)
    • -Кои са направили port scan
    • -Кои потребители използват P2P (Emule, Kazaa v.s) приложения
    Постижения
  • ( P2P (Pear to Pear) е технология, позволяваща потребители от цял свят да обменят информация помежду си - директно от един към друг компютър. В случая, както е показано на картинката. Връзката м/у компютрите се осъществява чрез специален сървър, който играе ролята на свързваща точка. Самата информация не минава през сървъра, а директно м/у потребителите. Постижения
  • -Като вземем log-файлове в Mail сървър, ще открием кой, кога и на кого е изпратил маил -С вземане на IIS логове, ще проследяваме достъпи до фирмени уеб страници -С вземане на Call Center логове , ще можем да извадим рапорти кой, кога и от къде се е обаждал. (Банки, GSM оператори) Постижения
  • -С вземане на Tmg, Websense т.н. логове, ще може да се изпращат доклади на управители за достъпа на уеб страниците (facebook, cnn…) -Анализиране на логове за програми за отдалечен достъп и да разгледаме кой и на кой компютър е достъпен ( Radmin, CA Remote т.н.) -С вземане на Firewall логове, можем да анализираме какви атаки се получават в кои ip адреси Постижения
    • - При анализиране на Antivirus логове , ще можем да разгледаме данните за
    • вирусите.
    • -С вземане на сървър security логове се открие кои сървъри , кои и кога се
    • свързани ( RDP)
    • -С вземане на Mail security логове се откриват изпращачи на spam
    Постижения
    • -Router, switch т.н. мрежови апарати с начина на syslog, snmp вземането на логове откриваме неоторизирани достъпи
    • -Domain control и локалните потребителски акаунти се изследват, за да проследяват промените на груповите свойства (добавяне на потребители на domain admin група)
    • -Приложения,в които има идентифициране с потребителско име и парола за Електронна търговия, Интернет клон и др се определя с атака на паролите (в 5 мин пробваме парола повече от 100 пъти)
    • - Log- файлове на Web дейности
    Постижения
  • За повече информация… [email_address] www.fatihdemirel.com Благодаря за вниманието
  • ? Въпроси