Esityksessä käydään kattavasti läpi lokienhallintaa ja SIEMia eri käyttötapuksien näkökulmasta ja kuinka NetIQ:n Sentinel ratkaisulla voidaan helposti saavuttaa haluttuja hyötyjä organisaatioissa. Esitys pidetty 17.9.2015

1. NetIQ Sentinel
Käyttötapausnäkökulma
Pekka Lindqvist
pekka.lindqvistI@netiq.com

2. 2 © 2014 NetIQ Corporation. All rights reserved.
Sisältö
• Johdanto
• Käyttötapauksia
‒ Lokienhallinan käyttötapauksia
‒ SIEM-käyttötapauksia
• Yhteenveto

3. 3 © 2014 NetIQ Corporation. All rights reserved.
Miksi lokitieto haltuun?
• Vaatimukset edellyttävät
‒ Laki, asetukset
‒ Muut yleiset määräykset
‒ Omat vaatimukset
• Tarve ymmärtää mitä ympärstössä tapahtuu
‒ Tietojen suojaus
‒ Havaita mahdollinen luvaton toiminta ja reagoida siihen
• Tehokkuus
‒ Lokitiedot paremmin käytettäväksi, esim. auditoinnissa
‒ Tietoteknisten resurssien tehokkaampi käyttö
• Liiketoiminnan jatkuvuus

4. 4 © 2014 NetIQ Corporation. All rights reserved.
Tietoturvan hallinnan tarpeet
• Organisaatioiden tietoturvan vaatimukset ja
lähtötasot vaihtelevat
• Organisaatiot tarvitsevat tietoturvan hallintaratkaisun,
joka mahdolistaa vaiheittaisen etenemisen
‒ Lokien hallinta on helppo ottaa käyttöön ja tarjoaa
nopeita hyötyjä
‒ Sitä voi laajentaa järjestelmien, sovellusten ja ihmisten,
tosiaikaiseen seurantaan.
‒ Uusien tiedonlähteiden lisäämisen on oltava joustavaa
‒ Identiteettiin perustuva käyttäjän toimenpiteiden seuranta

5. Lokienhallinnan käyttötapauksia

6. 6 © 2014 NetIQ Corporation. All rights reserved.
Lokienhallinnan tavoitteita
• Keskitetty lokivarasto
‒ Lokieitetoja yhdessä paikassa hyödynnettävissä
‒ IT-resurssien tehokas hyödyntäminen
• Yhtenäiset lokipolitiikat
‒ Kuinka tietoja säilytetään
‒ Kuka saa tarkastella lokitietoja
• Lokien tietoturva
‒ Pääsyn kontrollointi lokietietoon
‒ Lokien käsittelyn jäljitettävyys

7. 7 © 2014 NetIQ Corporation. All rights reserved.
Keskitetty lokivarasto
Tiedon keräys
• Lokilähteiden hallinta yhdessä paikassa

8. 8 © 2014 NetIQ Corporation. All rights reserved.
Keskitetty lokivarasto
Tiedon normalisointi
• Samat tiedot eri tapahtumissa

9. 9 © 2014 NetIQ Corporation. All rights reserved.
Keskitetty lokivarasto
Tiedon tallennus
• Kokonaiskuva lokien
levytilan käytöstä
• Ennustettavuus
tulevasta tarpeesta

10. 10 © 2014 NetIQ Corporation. All rights reserved.
Keskitetty lokivarasto
Tietojen poistosykli
• Ei turhaa tiedon säilytystä

11. 11 © 2014 NetIQ Corporation. All rights reserved.
Keskitetty lokivarasto
Pääsy tietoihin
• Yksityiskohtaiset kontrollit tietojen käytölle

12. 12 © 2014 NetIQ Corporation. All rights reserved.
Lokitiedon hyödyntäminen
Tietojen haku
• Vapaa tekstihaku

13. 13 © 2014 NetIQ Corporation. All rights reserved.
Lokitiedon hyödyntäminen
Tietojen haku
• Haku kenttien avulla

14. 14 © 2014 NetIQ Corporation. All rights reserved.
Lokitiedon hyödyntäminen
Tietojen haku
• Haun täsmennys

15. 15 © 2014 NetIQ Corporation. All rights reserved.
Lokitiedon hyödyntäminen
Tietojen haku
• Hakujen yhdistäminen

16. 16 © 2014 NetIQ Corporation. All rights reserved.
Lokitiedon hyödyntäminen
Raportointi
• Auditointiin valmistautuminen

17. 17 © 2014 NetIQ Corporation. All rights reserved.
Lokitiedon hyödyntäminen
Raportointi
• Identiteetinhallinnan tueksi

18. 18 © 2014 NetIQ Corporation. All rights reserved.
Lokitiedon hyödyntäminen
Raportointi
• Johdon tueksi

19. 19 © 2014 NetIQ Corporation. All rights reserved.
Lokitiedon hyödyntäminen
Raportointi
• Vahvojen tunnusten hallintaan

20. 20 © 2014 NetIQ Corporation. All rights reserved.
Lokitiedon hyödyntäminen
Raportointi
• Statistiikkaa

21. 21 © 2014 NetIQ Corporation. All rights reserved.
Lokitiedon hyödyntäminen
Hajautettu tallennus ja käsittely
Endpoints Network Servers
Suomi
Endpoints Network Servers Endpoints Network Servers
Endpoints Network Servers
Dedikoitu
ympärsitö
Venäjällä
Jaettu
palvelin
Korrelaatio-
palvelin
Ruotsi Saksa Suomi
• Keskitetty / hajautettu toteutus, tagien hyödyntäminen

22. Lokienhallinta ja SIEM käyttötapauksia

23. 24 © 2014 NetIQ Corporation. All rights reserved.
Lokitiedon hyödyntäminen
Tiedon rikastus
• Tiedon rikastus muista lähteistä

24. 25 © 2014 NetIQ Corporation. All rights reserved.
Lokitiedon hyödyntäminen
Tapahtumiin reagointi
• Tiedon välitys eteenpäin

25. 26 © 2014 NetIQ Corporation. All rights reserved.
Lokitiedon hyödyntäminen
Tapahtumien visualisointi
• Tietoturvan valvonta, nopea tilannekatsaus

26. SIEM käyttötapauksia

27. 29 © 2014 NetIQ Corporation. All rights reserved.
Lokietietojen jalostus
Korrelaatio
• Tiedossa olevien uhkien ennakointi

28. 30 © 2014 NetIQ Corporation. All rights reserved.
Lokietietojen jalostus
Korrelaatio

29. 31 © 2014 NetIQ Corporation. All rights reserved.
Lokietietojen jalostus
Poikkeamat
• Kriittisten tapahtuminen poikkeamiin reagointi

30. © 2015 NetIQ Corporation and its affiliates. All Rights Reserved.32
Lokietietojen jalostus
Hälytykset
• Yleiskuva

31. © 2015 NetIQ Corporation and its affiliates. All Rights Reserved.33
Lokietietojen jalostus
Hälytys - yksityiskohdat
• Tapahtuman analysointi

32. 34 © 2014 NetIQ Corporation. All rights reserved.
Lokietietojen jalostus
Mahdollisuuksia näkymiksi

33. Yhteenveto

34. 36 © 2014 NetIQ Corporation. All rights reserved.
Yhteenveto
• Lokien hallinnasta voi saavuttaa monelaisia hyötyjä
• Hyötyjä voi saada nopeasti ja kehittämällä ratkaisua
niitä voidaan lisätä

35. 37 © 2014 NetIQ Corporation. All rights reserved.
Yhteenveto
Toimeenpane
pääsyn hallinta
Monitoroi
toimintaa
Hallitse
oikeuksia

37. +1 713.548.1700 (Worldwide)
888.323.6768 (Toll-free)
info@netiq.com
NetIQ.com
Worldwide Headquarters
1233 West Loop South
Suite 810
Houston, TX 77027 USA
http://community.netiq.com
41 © 2014 NetIQ Corporation. All rights reserved.

38. This document could include technical inaccuracies or typographical errors. Changes are
periodically made to the information herein. These changes may be incorporated in new
editions of this document. NetIQ Corporation may make improvements in or changes to the
software described in this document at any time.
Copyright © 2014 NetIQ Corporation. All rights reserved.
ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, the
cube logo design, Directory and Resource Administrator, Directory Security Administrator, Domain Migration
Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy
Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, the NetIQ logo, PSAudit,
PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite,
Security Manager, Server Consolidator, VigilEnt, and Vivinet are trademarks or registered trademarks of NetIQ
Corporation or its subsidiaries in the United States.