Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Információbiztonság: Napló

328 views

Published on

A naplózás létjogosultsága ma már nem kérdés. Egyre több esetben már értékként is lehet használni. Ebből adódóan célszerű lehet értékes rendszerként alkalmazni. A naplók mérete és igényei jelentősen megnőttek napjainkra. Minden adatot naplónak lehet tekinteni, így adatbányászniis lehet bennük. Innen eredhet a Big Data alapú kezelése a naplóknak. A kissé beláthatatlan, néha homályos Big Data helyett lehet, hogy célszerűbb itt is visszanyúlni a régi adatkezelési elvekhez, s ILM-bengondolkozni. Osztályozni az adatokat, célokat rendelni hozzájuk, s életciklusban kezelni őket. Kényelmes mindent egyben kezelni, de feldolgozó, tároló, mentő rendszereket is kell társítani mellé. Egy átlátható és felfogható, letisztult rendszer kontrollálhatóvá teheti a költségeket, átláthatóan tartja a rendszert –bár előzetes tervezést igényel. Tapasztalatok alapján a tervezés felgyorsítható, a bevezetés szakaszolható a minőségibberedmény elérése érdekében –a használható project termék előállítása céljából. Ipari, pénzügyi, TELCO –illetve kiemelkedő méretű nemzetközi –naplókezelési és elemzési projecteken alapuló tapasztalatunk megfontolásra lehet érdemes.

További információ: http://www.snt.hu/megoldasok/informaciobiztonsag/

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Információbiztonság: Napló

  1. 1. Napló Kis-Szabó András rendszermérnök
  2. 2. Napló, 2 - Cél szentesíti az eszközt - Gyűjtés - Kezelés - Feldolgozás - Elemzés - Minden cél jó a maga módján - Mivel a cél eltérő, a helyes módszertan sem azonos - De mi a napló? - Gyűjtés után minden napló lehet, adattá alakítható - Napló = - Jó napló? - Értékes napló? - Költséghatékony napló? Mint az iskolában
  3. 3. Rajt – cél 3 - Általános cél műszaki oldalról - minden - Megvalósítható cél - megegyezik ezzel, minden - Költség-kontrollált cél - általában nem beismert - Költségek - Cél túlhatározott, korlátok nem beismertek = Csillagháború A győzelem messze lehet
  4. 4. Halálcsillag 4 Halálcsillag - Nagy tervek - Jóváhagyás: Darth Tyranus, Darth Sidious - Kivitelezés: Tarkin - Problémák - Költségek - Technikai korlátok - Építési nehézségek, együttműködés - Közel kész állapot: 20 év - Üzemeltető személyzet: 1.161.293 fő A vállalkozók lázadása
  5. 5. Project 5 - Célok - Célok lebontása csökkentheti a feladatokat és erőforrásokat - Jobb fókuszt biztosít - Hamarabb eredményre juthat - Bízzunk az erőben - De ne túlságosan - Ismerjük be korlátainkat - Mérjük fel erőnket, hogy ne erőszak szerverez legyen a project - Elérhető célok és emberi erőforrások - Fizikai erőforrások elérhetőséges, képességeink Kivitelezés művészete
  6. 6. Gondolkodni 6 - Megfelelő kérdéseket meg kell hallani, fel kell ismerni - Mi a célom és milyen emberi erőforrást tudok mellé rendelni? - Az ember véges erőforrás - Technikai paraméterek definiálása egyszerű - Emberi feldolgozó képességet nehezebb hozzárendelni - Technika is limitáld lehet - Matematika - 10.000 EPS, egy Event átlag 2 sor, egy képernyő 168 sor - 119 képernyő / másodperc = 119 FPS, de az ember kb 20-nál feladja - Matematika #2 - 20 FPS megkülönböztetés – nem olvasás! – a fenti adatokkal - 1680 EPS felismerése - Ki készít ebből jelentéseket? - Bízni kell a technikában, de korlátlan „tömörítés” nem lehetséges Nem erőből cselekedni
  7. 7. Matematika 7 - Mindent fel kell szorozni - EPS-t limitálni érdemes. Könnyű nagyot mondani! - Idő x Darabszám x Hossz = Nagy baj! - Ellenőrzés - 60.000 EPS 1 évre 1.100 byte méret mellett = 2 PB RAW - 1 éves jelentés 1 nap alatt: 6.000.000 IOPS! (4k, linear) és 23GBps RAM-DISK IO (HBA!) - 1:100 tömörítés mellett is rémisztő IOPS - 1:100 tömörítés IOPS-ot csökkenti, de LZW miatt CPU-t sokszorosra növeli - Ethernet frame: 1500+ Byte + Meta adatok! - 10 Gbps 5 napra akár 500TB is lehet meta nélkül - VS. IOPS, CPU, buszok - Megvalósítás - Ha felismerem a limiteket, elfogadva őket elosztott rendszert építhetek - Két-három dimenziós felosztás kisebb, olcsóbb elemeket követel meg Realitások segíthetnek
  8. 8. Megvalósítás 8 - Kevés a tapasztalat, el kell hinni a tanácsadó mondását - Kontroll: valós korlátok ismerete segíthet - Gyűjteni jó, de szinte soha nem akarok hozzáférni az adatokhoz - Fektetni olcsóbb, mint memóriában tárolni - Elemezni jó, de vajon mindent akarok elemezni? - Kb. 80% frame error, port up/down feldolgozási költsége meghatározható - Mit akarok elemezni és mekkora időtávra? - Tudok olyan igényt mondani, ami több, mint 1 órás? - Miről kell jelentés? - Mi az, ami keresés, de jelentésnek hívom? - Általános vagy konkrét? - Valóban kell szinte minden adat a válaszoz, vagy felbonthatom csoportokra? - 1 TB olvasásának és 100 TB olvasásának is van költsége, ami közel nem azonos - Átlag 30.000.000 EPS is kezelhető - Nem egy project és nem 3 hónap alatt, főleg nem egyben Tapasztalati problémák
  9. 9. Összefoglalás 9 - Gyűjtés – gyors bevezetés - Mindent el kell rakni – főleg csak tárolni kell - Visszakeresés gyakorisága, hossza – ILM megoldások - Olcsó, célzott tároló/fogadó megoldás nagy fogadási méretezéssel, ILM támogatással - Syslog-NG OSE/PE/SSB variánsok - Kezelés, feldolgozás – könnyű sikerek - Szűrés, elő feldolgozás megengedett, célzott eljárások - Költség és keresési hatékonyság növelése - Általánosan megfogalmazott feladatok, compliance - Feladat specifikus rendszerek – hálózat, perimeter, üzleti rendszerek, kiemelt folyamatok - Korrelált adatok megőrzése és tárolása, visszakereshetősége – ILM - HP ESP ArcSight Logger termékvonal - Kiemelt elemzés – agymunka vs. korlátlan budget - Korrelációs szint, csak célzott, értékes use-case támogatás - Erős erőforrás-kontroll a költségek kezelésére - HP ESP ArcSigth Express/ESM SIEM megoldások - Egyéb megoldások - McAfee SIEM Javaslatok
  10. 10. Kérdések és válaszok 10 Köszönöm a figyelmet! Kis-Szabó András Andras.Kis-Szabo@snt.hu
  11. 11. OOOO A4 11 A naplózás létjogosultsága ma már nem kérdés. Egyre több esetben már értékként is lehet használni. Ebből adódóan célszerű lehet értékes rendszerként alkalmazni. A naplók mérete és igényei jelentősen megnőttek napjainkra. Minden adatot naplónak lehet tekinteni, így adatbányászni is lehet bennük. Innen eredhet a Big Data alapú kezelése a naplóknak. A kissé beláthatatlan, néha homályos Big Data helyett lehet, hogy célszerűbb itt is visszanyúlni a régi adatkezelési elvekhez, s ILM-ben gondolkozni. Osztályozni az adatokat, célokat rendelni hozzájuk, s életciklusban kezelni őket. Kényelmes mindent egyben kezelni, de feldolgozó, tároló, mentő rendszereket is kell társítani mellé. Egy átlátható és felfogható, letisztult rendszer kontrollálhatóvá teheti a költségeket, átláthatóan tartja a rendszert – bár előzetes tervezést igényel. Tapasztalatok alapján a tervezés felgyorsítható, a bevezetés szakaszolható a minőségibb eredmény elérése érdekében – a használható project termék előállítása céljából. Ipari, pénzügyi, TELCO – illetve kiemelkedő méretű nemzetközi – naplókezelési és elemzési projecteken alapuló tapasztalatunk megfontolásra lehet érdemes.

×