1. Log Yönetimi ve 5651 Osman DOĞAN Türkiye Finans Katılım Bankası Sistem ve Güvenlik Yetkilisi www.turkiyefinans.com.tr www.logyonetimi.com www.eventid.com.tr
2. Ajanda Log Nedir Kazanımlar Log Kaynakları Uyumluluk ve Yasal Sorumluluklar Log Yönetiminin Amacı ve Önemi Log Yönetimi Süreçleri WikiLeaks Belgeleri
3. Birçok uygulama veya sunucular yapmış oldukları işlemleri, sistem sorumlularını bilgilendirme maksatlı farklı formatlarda kaydeder, bu kaydedilmiş veriye Log denir. Log Nedir ?
4. Güvenlik Duvarı Atak Algılamanleme Sistemleri Network Cihazları Sunucu, PC ve Laptop İş Uygulamaları (SharePoint, IIS, Exchange) Veri Tabanı (MsSQL, MySQL ) Antivirus Uzak Erişim Uygulamaları (VPN) Taşınabilir Aygıtlar (Usb, CD) Proxy uygulamaları Log Kaynakları Nelerdir ?
5. Amaç ve Önemi Sunucu, istemci, uygulama ve firewall gibi log üreten cihazlardan ilgili logları toplayarak anlamlı ve raporlanabilir bir hale getirmektir. Hırsızlık olayında Parmak izi Uçak düştüğünde Karakutu Size ait bir ip adresi üzerinden cumhurbaşkanı hakkında yapılan hakaret içerikli bir yorumu kimin yaptığını bulmak için Loglar !
16. Kazanımlar Güvenlik ihlallerinin anında tespiti ve delillerin toplanması Cobit, 5651, PCI v.b standartlar ve yasalara uyumluluk Başarılı / Başarısız erişimlerin tespiti Yetkili / Yetkisiz erişimlerin tespiti File Server üzerine yer alan kritik dosyalara yapılan erişimin ve aktivitenin (silme, oluşturma, sahipliğinin alınması) v.b. takibi ESX v.b. Sanallaştırma uygulamalarının logları alınarak kimin, hangi sunucuyu oluşturduğu, sildiği veya shutdown ettiğine ait bilgileri
17. Kazanımlar Ip , hostname gibi değişikliklerin takibi İstemci tarafında çalışan trojan v.b. Uygulamaların tespit edilmesi Günün herhangi bir anında hangi kullanıcı hangi bilgisayarlarda online olduğunun tespiti Logların kaybolma ve silinme riskinin ortadan kalkması Sistem yöneticilerinin takibi
18. Hangi bilgisayara , kim, hangi porttan erişmeye çalıştı Kimler port scan yaptı Kimler ne zaman, hangi bilgisayar sslvpn ile erişim sağladı. Hangi kullanıcılar P2P (Emule, Kazaa v.s) uygulamaları kullanıyor Mail sunucu logları alınarak kim, kime, hangi konuda mail attı Kazanımlar
19. Kazanımlar IIS logları alınarak Kurumsal web sitesine yapılan yetkili/yetkisiz erişimler. KGS (Kartlı Geçiş Sistemi) logları alınarak, işe gelmediği halde oturumu açılanların tespit edilmesi Call Center logları alınarak kim, ne zaman, hangi şehirden aramış v.b. Raporlar çıkarılabilir. (Banka, GSM firmaları) Tmg, Websense v.b. Loglar alınarak hangi kullanıcı, hangi web sitesine, hangi kategoride erişim sağladı (facebook, hepsiburada.com) bu raporların birim amirlerine düzenli gönderimi sağlanabilir.
20. Uzak erişim program logları alınarak kim, kimin bilgisayarına erişim yaptı (Radmin, CA Remote v.b.) Firewall logları alınarak hangi ip adreslerinden, ne tür atakların geldiği bilgisi Antivirüs logları alınarak sunucu ve istemcilerde hangi virüslerin olduğu, temizlenen veya karantinaya alınanlar virüs bilgileri Sql, oracle v.b. Veritabanı logları alınarak kimin, hangi tabloda ne değişiklik yaptığı veya yetkisiz erişim denemeleri Kazanımlar
21. Sunucu security logları alınarak hangi sunucuya, kim, ne zaman, nasıl (RDP, C$) bağlanmış Kritik dosya veya ortak dosya sunucu erişimleri takip edilerek kim, hangi dosyada, ne değişiklik yapmış Mail security logları alınarak spam gönderen domain ve spam gelen kullanıcıların belirlenmesi Router, switch v.b. Network cihazlarının syslog, snmp v.b. Yöntemlerle logları alınarak yetkili / yetkisiz erişimler tespit edilir. Kazanımlar
22. Dc ve local kullanıcı hesapları takip edilerek grup üyeliklerindeki değişkliklerin tespiti (domain admin grubuna kullanıcı eklenmesi) Dhcp logları alınarak hangi mac adresine hangi ip adresi atandı veya network ortamında sizden habersiz ip dağıtan dhcp sunucu tespiti E-ticaret, İnternet Sube v.b. Kullanıcı adı şifre doğrulaması yapılan uygulama logları alınarak, yapılan şifre ataklarının tespit edilmesi ( 5 dk içerisinde 100 den fazla şifre denemesi) Kazanımlar
23. Uyumluluk ve Yasal Sorumluluklar SOX, COBIT, ISO27001 ve diğerleri Kullanıcı oturum açma işlemleri Nesne erişim olayları Kullanıcı ve grup oluşturma işlemleri Yetkili / Yetkisiz erişimler 5651 sayılı kanun DHCP logları Web aktivite logları
24. Teşekkürler Daha fazla bilgi için… admin@logyonetimi.com