Log yönetimi ve 5651

  • 716 views
Uploaded on

 

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
716
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
0
Comments
0
Likes
3

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Log Yönetimi ve 5651 www.logyonetimi.com Osman DOĞANLog Yönetimi Bilgi Güvenliği Portalı www.eventid.com.tr
  • 2. Ajanda Log Nedir Kazanımlar Log Kaynakları Uyumluluk ve Yasal Sorumluluklar Log Yönetiminin Amacı ve ÖnemiLog Yönetimi Süreçleri WikiLeaks Belgeleri
  • 3. Log Nedir ?• Birçok uygulama veya sunucular yapmış oldukları işlemleri, sistem sorumlularını bilgilendirme maksatlı farklı formatlarda kaydeder, bu kaydedilmiş veriye Log denir.
  • 4. Log Kaynakları Nelerdir ?• Güvenlik Duvarı• Atak AlgılamaÖnleme Sistemleri• Network Cihazları• Sunucu, PC ve Laptop• İş Uygulamaları (SharePoint, IIS, Exchange)• Veri Tabanı (MsSQL, MySQL )• Antivirus• Uzak Erişim Uygulamaları (VPN)• Taşınabilir Aygıtlar (Usb, CD)• Proxy uygulamaları
  • 5. Amaç ve Önemi• Sunucu, istemci, uygulama ve firewall gibi log üreten cihazlardan ilgili logları toplayarak anlamlı ve raporlanabilir bir hale getirmektir.• Hırsızlık olayında – Parmak izi• Uçak düştüğünde – Karakutu• Size ait bir ip adresi üzerinden cumhurbaşkanı hakkında yapılan hakaret içerikli bir yorumu kimin yaptığını bulmak için – Loglar !
  • 6. Log Yönetimi Süreçleri
  • 7. Log Yönetimi Süreçleri• Projeden beklentiler nelerdir ?  5651 mi ?  Log korelasyon mu ?• Log alınacak uygulama, sunucu ve cihazların belirlenmesi  Firewall, proxy  Server , Client v.b.  SQL, Oracle v.b. veritabanları  IIS, Exchange v.b. Uygulamalar• Yazılacak collector veya parser sayısının belirlenmesi  Default  Custom
  • 8. Log Yönetimi Süreçleri• Alınan logların anlamlı hale getirilmesi  “EventId=517”  Log kayıtlarının silindiği  WAF log kaydında “Atak Tipi”=5  ddos atak olduğununun belirlenmesi
  • 9. Log Yönetimi Süreçleri• Kurum politikaları doğrultusunda anlık/günlük/haftalık uyarı ve rapor mekanizması tasarlanmalıdır. Sms : Kritik seviyede oluşan log kaydının sms ile gönderimi sağlanır.Ör: “Osman” kullanıcısı “web-server” sunucusundaki “web.config” dosyasını sildi.
  • 10. Log Yönetimi Süreçleri– Mail : Kritik seviyede oluşan log kaydının sistem sorumlusuna mail ile gönderimi sağlanır.
  • 11. Log Yönetimi Süreçleri• Rapor : Kritik raporların haftalık/aylık rutin gönderimi sağlanmalıdır.
  • 12. Kazanımlar• Güvenlik ihlallerinin anında tespiti ve delillerin toplanması• Cobit, 5651, PCI v.b standartlar ve yasalara uyumluluk• Başarılı / Başarısız erişimlerin tespiti• Yetkili / Yetkisiz erişimlerin tespiti• File Server üzerine yer alan kritik dosyalara yapılan erişimin ve aktivitenin (silme, oluşturma, sahipliğinin alınması) v.b. takibi• ESX v.b. Sanallaştırma uygulamalarının logları alınarak kimin, hangi sunucuyu oluşturduğu, sildiği veya shutdown ettiğine ait bilgileri
  • 13. Kazanımlar• Ip , hostname gibi değişikliklerin takibi• İstemci tarafında çalışan trojan v.b. Uygulamaların tespit edilmesi• Günün herhangi bir anında hangi kullanıcı hangi bilgisayarlarda online olduğunun tespiti• Logların kaybolma ve silinme riskinin ortadan kalkması• Sistem yöneticilerinin takibi
  • 14. Kazanımlar• Hangi bilgisayara , kim, hangi porttan erişmeye çalıştı• Kimler port scan yaptı• Kimler ne zaman, hangi bilgisayar ssl vpn ile erişim sağladı.• Hangi kullanıcılar P2P (Emule, Kazaa v.s) uygulamaları kullanıyor• Mail sunucu logları alınarak kim, kime, hangi konuda mail attı
  • 15. Kazanımlar• IIS logları alınarak Kurumsal web sitesine yapılan yetkili/yetkisiz erişimler.• KGS (Kartlı Geçiş Sistemi) logları alınarak, işe gelmediği halde oturumu açılanların tespit edilmesi• Call Center logları alınarak kim, ne zaman, hangi şehirden aramış v.b. Raporlar çıkarılabilir. (Banka, GSM firmaları)• Tmg, Websense v.b. Loglar alınarak hangi kullanıcı, hangi web sitesine, hangi kategoride erişim sağladı (facebook, hepsiburada.com) bu raporların birim amirlerine düzenli gönderimi sağlanabilir.
  • 16. Kazanımlar• Uzak erişim program logları alınarak kim, kimin bilgisayarına erişim yaptı (Radmin, CA Remote v.b.)• Firewall logları alınarak hangi ip adreslerinden, ne tür atakların geldiği bilgisi• Antivirüs logları alınarak sunucu ve istemcilerde hangi virüslerin olduğu, temizlenen veya karantinaya alınanlar virüs bilgileri• Sql, oracle v.b. Veritabanı logları alınarak kimin, hangi tabloda ne değişiklik yaptığı veya yetkisiz erişim denemeleri
  • 17. Kazanımlar• Sunucu security logları alınarak hangi sunucuya, kim, ne zaman, nasıl (RDP, C$) bağlanmış• Kritik dosya veya ortak dosya sunucu erişimleri takip edilerek kim, hangi dosyada, ne değişiklik yapmış• Mail security logları alınarak spam gönderen domain ve spam gelen kullanıcıların belirlenmesi• Router, switch v.b. Network cihazlarının syslog, snmp v.b. Yöntemlerle logları alınarak yetkili / yetkisiz erişimler tespit edilir.
  • 18. Kazanımlar• Dc ve local kullanıcı hesapları takip edilerek grup üyeliklerindeki değişkliklerin tespiti (domain admin grubuna kullanıcı eklenmesi)• Dhcp logları alınarak hangi mac adresine hangi ip adresi atandı veya network ortamında sizden habersiz ip dağıtan dhcp sunucu tespiti• E-ticaret, İnternet Sube v.b. Kullanıcı adı şifre doğrulaması yapılan uygulama logları alınarak, yapılan şifre ataklarının tespit edilmesi ( 5 dk içerisinde 100 den fazla şifre denemesi)
  • 19. Uyumluluk ve Yasal Sorumluluklar• SOX, COBIT, ISO27001 ve diğerleri – Kullanıcı oturum açma işlemleri – Nesne erişim olayları – Kullanıcı ve grup oluşturma işlemleri – Yetkili / Yetkisiz erişimler• 5651 sayılı kanun – DHCP logları – Web aktivite logları
  • 20. Teşekkürler Daha fazla bilgi için…osman.dogan@logyonetimi.com
  • 21. Soru & Cevap ?