Net iq sentinel log manager (work shop)

1,133 views
1,017 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,133
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
19
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Net iq sentinel log manager (work shop)

  1. 1. © 2012 NetIQ Corporation. All rights reserved.日誌分析 / 即時監控 / 身份管理三合一描繪資安新藍圖Novell/NetIQ 台灣區產品經理   李民偉
  2. 2. © 2012 NetIQ Corporation. All rights reserved.Agenda§  為什麼記錄管理如此重要?§  威脅與挑戰§  靜態事後工具 - 日誌管理平台§  即時威脅反應 - SIEM§  失落的拼圖 - 身份整合§  解決方案藍圖
  3. 3. © 2011 NetIQ Corporation. All rights reserved.為什麼記錄管理如此重要?3
  4. 4. © 2012 NetIQ Corporation. All rights reserved.資訊/稽核人員面臨的環境資料傳送traps &報警 動態I/O設定檔修改Log原始碼存取活動報告系統日誌稽核軌跡
  5. 5. © 2012 NetIQ Corporation. All rights reserved.§ 資訊人員日常管理作業§ 服務/程式/網路偵錯及效能調校§ 內控/內稽/違規存取分析§ 資安事故分析記錄管理在實務層面的效益掌握LOG,就掌握整個IT環境的活動!
  6. 6. © 2012 NetIQ Corporation. All rights reserved.§ 主管機關法規依循/標準導入§ 訴訟舉證記錄管理在法規依循層面的效益
  7. 7. © 2012 NetIQ Corporation. All rights reserved.個資法的壓力及出口…•  個資法第29條:•  非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。
  8. 8. © 2012 NetIQ Corporation. All rights reserved.達成法規條文規範/要求是最基礎的目標:§  個資法第6, 18, 27條相關規定§  個資法施行細則第12條:§  一、配置管理之人員及相當資源。§  二、界定個人資料之範圍。§  三、個人資料之風險評估及管理機制。§  四、事故之預防、通報及應變機制。§  五、個人資料蒐集、處理及利用之內部管理程序。§  六、資料安全管理及人員管理。§  七、認知宣導及教育訓練。§  八、設備安全管理。§  九、資料安全稽核機制。§  十、使用紀錄、軌跡資料及證據保存。§  十一、個人資料安全維護之整體持續改善。
  9. 9. © 2012 NetIQ Corporation. All rights reserved.達成法規條文規範/要求是最基礎的目標:§  個資法第6, 18, 27條相關規定§  個資法施行細則第12條:§  一、配置管理之人員及相當資源。§  二、界定個人資料之範圍。§  三、個人資料之風險評估及管理機制。§  四、事故之預防、通報及應變機制。§  五、個人資料蒐集、處理及利用之內部管理程序。§  六、資料安全管理及人員管理。§  七、認知宣導及教育訓練。§  八、設備安全管理。§  九、資料安全稽核機制。§  十、使用紀錄、軌跡資料及證據保存。§  十一、個人資料安全維護之整體持續改善。•  因應個資事件發生所採取行為的記錄。•  確認受託人執行委託人要求事項的記錄。•  提供當事人行使權利的記錄。•  確認個人資料正確性及更正的記錄。•  個資存取權限新增、變動及刪除的記錄。•  違反權限存取個資行為的記錄。•  備份及還原測試的記錄。•  個人資料交付、傳輸的記錄。•  個人資料刪除、廢棄的記錄。•  存取個人資料系統的記錄 。•  定期檢查處理個人資料資訊系統的記錄。•  對員工執行相關教育訓練的記錄。•  執行計畫稽核及改善程序的記錄。
  10. 10. © 2012 NetIQ Corporation. All rights reserved.達成法規條文規範/要求是最基礎的目標:§  個資法第6, 18, 27條相關規定§  個資法施行細則第12條:§  一、配置管理之人員及相當資源。§  二、界定個人資料之範圍。§  三、個人資料之風險評估及管理機制。§  四、事故之預防、通報及應變機制。§  五、個人資料蒐集、處理及利用之內部管理程序。§  六、資料安全管理及人員管理。§  七、認知宣導及教育訓練。§  八、設備安全管理。§  九、資料安全稽核機制。§  十、使用紀錄、軌跡資料及證據保存。§  十一、個人資料安全維護之整體持續改善。記錄管理措施:建立無過失責任的基礎
  11. 11. © 2012 NetIQ Corporation. All rights reserved.記錄管理措施:堅實的舉證/鑑識資料•  各式作業/存取紀錄須具有還原現場之能力,意即舉證效力•  常見的方法為利用簽章à加密à封存等技術達到要求•  採用通過認證的日誌管理平台是最有效的方式!
  12. 12. © 2011 NetIQ Corporation. All rights reserved.威脅與挑戰12
  13. 13. © 2012 NetIQ Corporation. All rights reserved.系統日誌 / 稽核軌跡的特性幾乎所有設備/系統皆會產生依不同廠牌而有不同格式文字檔容易修改保存時間有法令上之要求系統日誌稽核軌跡
  14. 14. © 2012 NetIQ Corporation. All rights reserved.Case 1 Case:(1) 案例:XX政府單位接獲技服中心通報(2) 通報內容:一個月前有內部電腦疑似連接對岸鬼網IP(3) 通報內容僅有此單位對外IP(4) 承辦人員緊急調閱防火牆日誌(5) 防火牆日誌不全、記錄時間沒有進行校時,甚至僅有大量的syslog儲存,無法從巨量日誌中找出是哪一部電腦(6) 最後終於找到了….但是,找到的卻是Proxy的IP,Proxy沒有保留日誌。(7) 資訊安全管理人員:欲哭無淚~~~~此案例僅為模擬情境,如有雷同,純屬巧合1.  沒有集中儲存機制2.  沒有有效分析工具3.  沒有明確訂立需保留日誌的作業設備
  15. 15. © 2012 NetIQ Corporation. All rights reserved.Case 2Case:(1) 案例:個資外洩(2) 某公司發現有敏感資訊遭竊取(3) 資訊人員第一時間進行查詢所有日誌,包含防火牆、入侵偵測系統、資料庫稽核系統、甚至所有網頁伺服器日誌,但因為沒有比較明確的時間,以及明確目標,導致無法協助檢調單位進行數位鑑識。(4) 檢調單位最後因為數位鑑識缺乏資料而導致無法找出個資外洩原因,此公司最後遭致極大的商譽損失此案例僅為模擬情境,如有雷同,純屬巧合1.  沒有集中儲存機制2.  沒有有效分析工具3.  缺乏日常安控查核4.  日誌不具鑑識效力
  16. 16. © 2012 NetIQ Corporation. All rights reserved.日誌管理的作為§ 工具:完善的控管/稽核平台− 集中式/同質性的記錄管理是管理面絕對必須的工具§ 範圍:以機敏資訊/單位核心業務為關注範圍− 完整的稽核軌跡應能連結:人/事/時/地/物§ 準則:主管機關法規及內部作業規範
  17. 17. © 2011 NetIQ Corporation. All rights reserved.靜態事後工具: 日誌管理平台17
  18. 18. © 2012 NetIQ Corporation. All rights reserved.NetIQ Log Manager日誌集中收集保存 日誌資料正規化高速搜尋報表產製日誌封存保全NetIQ SIEM Solution Set
  19. 19. © 2012 NetIQ Corporation. All rights reserved.導入Log Manager所帶來之效益l  日誌的整合收集&正規化l  效益:協助設備管理/稽核/風管人員以統一的資料格式,集中的觀察角度分析危安因子l  便利的報表產製l  效益:大幅縮短因應各項管理/稽核業務研製報表的作業負擔l  軌跡資料保存管理l  效益:確保可達成組織對於軌跡資料留存期間規定之要求l  效益:對儲存設備投資的合理評估l  資料完整性確認l  效益:確保軌跡資料內容的不可否認性&鑑識稽証效力
  20. 20. © 2011 NetIQ Corporation. All rights reserved.即時威脅反應:SIEM(Security Information Event Management)20
  21. 21. © 2012 NetIQ Corporation. All rights reserved.NetIQSentinel即時監控儀表板日誌集中收集保存 關聯分析引擎日誌資料正規化異常偵測高速搜尋報表產製資安事故流程管理日誌封存保全NetIQ SIEM Solution Set
  22. 22. © 2012 NetIQ Corporation. All rights reserved.導入NetIQ Sentinel SIEM 所帶來之效益l 即時監控儀表版l 效益:增強對事件監控之視覺化操作,補強靜態搜尋之分析缺損l 關聯分析/異常偵測l 效益:將事件監控分析達到自動化,智慧化l 事故流程系統l 效益:達成事故處理明文化.具體化,可供驗證覆核
  23. 23. © 2012 NetIQ Corporation. All rights reserved.即時威脅反應:符合法意/條文的安管措施§  個資法第6, 18, 27條相關規定§  個資法施行細則第12條:§  一、配置管理之人員及相當資源。§  二、界定個人資料之範圍。§  三、個人資料之風險評估及管理機制。§  四、事故之預防、通報及應變機制。§  五、個人資料蒐集、處理及利用之內部管理程序。§  六、資料安全管理及人員管理。§  七、認知宣導及教育訓練。§  八、設備安全管理。§  九、資料安全稽核機制。§  十、使用紀錄、軌跡資料及證據保存。§  十一、個人資料安全維護之整體持續改善。
  24. 24. © 2012 NetIQ Corporation. All rights reserved.Log Manager V.S. SIEMSIEM Log Manager• 事件過濾• 事件關聯分析• 事件監控• 事件報警• 事故回應管理• 軌跡資料保存管理• 軌跡資料壓縮儲存• 資料完整性確認• 可接收任何設備的軌跡資料• 資料搜索• 報告產生擔任系統軌跡資訊管理的角色擔任資安事故反應管理的角色
  25. 25. © 2012 NetIQ Corporation. All rights reserved.回顧:您的單位在記錄管理措施上,做到哪裡了?
  26. 26. © 2011 NetIQ Corporation. All rights reserved.失落的拼圖:身份整合26
  27. 27. © 2012 NetIQ Corporation. All rights reserved.Case 1§  某企業透過SIEM平台發現內部有電腦感染病毒,但每次清除病毒一段時間,又會發生中毒的現象。§  透過IAM所提供的使用者資訊做關連身分追蹤後,才發現原來是IT人員使用遭感染的USB裝置連接電腦以執行日常維護作業,導致電腦中毒的情況不斷出現。
  28. 28. © 2012 NetIQ Corporation. All rights reserved.Case 2§  某企業的IAM顯示員工半夜在台北登入系統後,5分鐘後又於高雄再次登入系統§  雖然此現象極不合理,但管理人員卻難以判斷該帳號是在不知情的情況下遭人所盜用?還是該員工擅自將自己的帳號分享給他人使用?
  29. 29. © 2012 NetIQ Corporation. All rights reserved.Case 3§  是某銀行的系統管理者,透過密碼函的流程申請特權帳號和密碼,在指定時間內執行昇級維護或程式過版任務,但為一時之便,未經主管同意,偷開了一個帳號以利日後不時之需。能做到即時通報和阻止嗎?
  30. 30. © 2012 NetIQ Corporation. All rights reserved.全球趨勢與規劃策略§  遵循Gartner研究機構的最佳規劃與實作建議(Best Practices)−  Gartner Research Note G00150692: Security Information and Event Management Complement Identity and Access Management Audits (2007)−  Gartner Research Note G00162649: Best Practices for Managing Superuser Privileges (2008)−  Gartner Research Note G00173382: Top 10 Security Technology Project Priorities for 2010§  規劃策略與目標:建置符合 IT GRC 策略的方案架構− 達成帳號與權限管理自動化(Automation)目標− 符合法規稽核與日誌管理驗證(Validation)要求
  31. 31. © 2012 NetIQ Corporation. All rights reserved. 關鍵發現 - 有了SIEM的配合,可以有效補足並延伸IAM(帳號與權限管理)‫‏‬方案中稽核與報告的功能與視野 - 而SIEM(稽核與日誌管理)方案,也需要參考到IAM中的使用者 和資源存取政策的定義,以有效進行使用者活動與行為的關連分析,兩者合作相得益彰。以IAM+SIEM達成User Activity Monitoring+ Audit
  32. 32. © 2012 NetIQ Corporation. All rights reserved.Other Applications…HumanResources資料庫檢索/查詢/異動eMail ADLDAP業務系統 檔案伺服器密碼管理?存取安全?權限管理精準度?幽靈帳號?管理成本,作業效率? 帳號資料一致性?認證與稽核?員工 駐外員工 內部員工 約聘員工 臨時雇員 外包合作夥伴 廠商Windows, Linux, UNIX, 各式DB, AD, LDAP…中皆有帳號方案定位: 解決IT資源與人員的複雜關係
  33. 33. © 2012 NetIQ Corporation. All rights reserved.員工 駐外員工 內部員工 約聘員工 臨時雇員 外包合作夥伴 廠商Identity身分整合。單一簽入。存取安全。權限控管。稽核。自動化Identity Security 方案的定位 Other Applications…HumanResources資料庫檢索/查詢/異動eMail ADLDAP業務系統 檔案伺服器Windows, Linux, UNIX, 各式DB, AD, LDAP…中皆有帳號帳號與權限管理
  34. 34. © 2012 NetIQ Corporation. All rights reserved.策略藍圖: Automation and ValidationSupporting Governance, Risk Management, and Compliance 帳號與權限管理Identity and Access Management•  Roles, Rules, Workflow and Approval Process•  Identity Integration and Lifecycle ManagementLine-of-Business ManagerCompliance Manager CSO, or Auditor稽核與日誌管理Security Event Management •  Logging, Audit and Reporting•  Activity Monitoring•  Event Correlation•  Validation and Remediation資安政策, 稽核作業MainframesUNIXLinuxWindows AppsDirectoriesAD, LDAPPhysicalAccessDatabases FirewallAutomate自動化Validate驗證成為企業IT部署的標準
  35. 35. © 2012 NetIQ Corporation. All rights reserved.建置啟用身分識別功能的安全性 識別身分的安全性與法規依循監控 角色型佈建 帳戶同步 帳密管理 稽核作業即時監控 記錄管理 身份識別管理 安全性監控 權限控管:能做什麼?帳號管理:建立對應關係辨識身份:是誰? 軌跡紀錄:做了什麼?即時自動分析可能違規/可疑活動事後調閱事件,產生符合作業規範的管理報表
  36. 36. © 2012 NetIQ Corporation. All rights reserved.更多有價值的資訊…§  記錄應將安全性中多方面的事務與多個角色連結:− 網路安全性 (防火牆、IDS)− 主機安全性 (管理員、開發人員)− 法規相符 (稽核、隱私權)− 物件存取 (機敏資訊及單位關鍵業務平台)− 建立記錄與其他資料 (如資產、弱點、效能與設定) 之間的相互關聯,可造就更全面的安全性管理循環
  37. 37. © 2012 NetIQ Corporation. All rights reserved.兼顧IT治理及法規依循的安全管理週期日誌管理平台即時威脅監控身份管理整合維安因子審閱/稽核/作業規範結合法規依循項目,修訂/落實單位作業規範及章程完備的記錄使用者活動定期審閱日誌/報表集中的身分à權限對應管理,落實以身份為目標的安全管控人力分析à智慧性的監測分析工具事後查核à即時監控/反應
  38. 38. © 2012 NetIQ Corporation. All rights reserved.日誌管理/SIEM:匯集各項安控資訊的指揮中心日誌管理威脅反應 整合身份驗證 權限控管同步 使用者行為記錄 維運/資產
參照資料 日誌管理威脅反應 整合身份驗證 權限控管同步 使用者行為記錄 維運/資產
參照資料 日誌管理威脅反應 整合身份驗證 權限控管同步 使用者行為記錄 維運/資產
參照資料 日誌管理威脅反應 整合身份驗證 權限控管同步 使用者行為記錄 維運/資產
參照資料 ⽇日誌管理威脅反應 整合⾝身份驗證 權限控管同步 使⽤用者⾏行為記錄 維運/資產參照資料
  39. 39. © 2011 NetIQ Corporation. All rights reserved.面對資料外洩及訴訟相關風險您該怎麼計劃您的IT投資?
  40. 40. © 2012 NetIQ Corporation. All rights reserved.4 About Us
  41. 41. © 2012 NetIQ Corporation. All rights reserved.4 About Us
  42. 42. © 2012 NetIQ Corporation. All rights reserved.4 About Us經過數次財務品牌上的整併Novell旗下主力產品(身份認證/存取管理/日誌管理/SIEM)相關產品線改由NetIQ進行銷售Attachmate集團中四個BU的產品在台灣統一由原有之Novell台灣辦公室銷售及售後服務
  43. 43. © 2012 NetIQ Corporation. All rights reserved.完整架構藍圖
  44. 44. © 2011 NetIQ Corporation. All rights reserved.符合資安稽核的帳號管理NetIQ Identity Manager (IDM) 主機權限.稽核軌跡.異動管理NetIQ Privileged User Manager (NPUM)NetIQ Change Guardian 日誌保存NetIQ SentinelLogManager 即時安控管理NetIQ Sentinel SIEM,Compliance Platform 整體方案設計
  45. 45. © 2012 NetIQ Corporation. All rights reserved.4 Gartner魔術象限 (Magic Quadrant)“Novell在有關身份及安全管理的四個魔術象限 ,全部都在右上角的領導者區域 (Leader): user provisioning, web accessManagement, enterprise single sign-on and security information and event management (SIEM).”Novell is the only vendor in the leaders quadrant of Gartners Magic Quadrant for all four markets: userprovisioning, web access management, enterprise single sign-on and security information and eventmanagement (SIEM).
  46. 46. Worldwide Headquarters1233 West Loop South, Suite 810Houston, Texas 77027 USAWorldwide: 713.548.1700N. America Toll Free: 1.888.323.6768Info@NetIQ.comNetIQ.comFollow NetIQ:NetIQ, an Attachmate business.© 2011 NetIQ Corporation. All rights reserved.46

×