Net iq sentinel log manager (work shop)

© 2012 NetIQ Corporation. All rights reserved.
日誌分析 / 即時監控 / 身份管理三合一
描繪資安新藍圖
Novell/NetIQ 台灣區產品經理李民偉

Agenda
§  為什麼記錄管理如此重要？
§  威脅與挑戰
§  靜態事後工具 - 日誌管理平台
§  即時威脅反應 - SIEM
§  失落的拼圖 - 身份整合
§  解決方案藍圖

為什麼記錄管理如此重要？
3

資訊/稽核人員面臨的環境
資料傳送
traps &報警
動態I/O
設定檔修改
Log
原始碼存取
活動報告
系統日
誌
稽核軌
跡

§ 資訊人員日常管理作業
§ 服務/程式/網路偵錯及效能調校
§ 內控/內稽/違規存取分析
§ 資安事故分析

記錄管理在實務層面的效益
掌握LOG，就掌握整個IT環境的活動！

§ 主管機關法規依循/標準導入
§ 訴訟舉證

記錄管理在法規依循層面的效益

個資法的壓力及出口…
•  個資法第29條：
•  非公務機關違反本法規定，致個人資料遭不法
蒐集、處理、利用或其他侵害當事人權利者，
負損害賠償責任。但能證明其無故意或過失者，
不在此限。

達成法規條文規範/要求是最基礎的目標：
§  個資法第6, 18, 27條相關規定
§  個資法施行細則第12條：

§  一、配置管理之人員及相當資源。
§  二、界定個人資料之範圍。
§  三、個人資料之風險評估及管理機制。
§  四、事故之預防、通報及應變機制。
§  五、個人資料蒐集、處理及利用之內部管理程序。
§  六、資料安全管理及人員管理。
§  七、認知宣導及教育訓練。
§  八、設備安全管理。
§  九、資料安全稽核機制。
§  十、使用紀錄、軌跡資料及證據保存。
§  十一、個人資料安全維護之整體持續改善。


•  因應個資事件發生所採取行為的記錄。
•  確認受託人執行委託人要求事項的記錄。
•  提供當事人行使權利的記錄。
•  確認個人資料正確性及更正的記錄。
•  個資存取權限新增、變動及刪除的記錄。
•  違反權限存取個資行為的記錄。
•  備份及還原測試的記錄。
•  個人資料交付、傳輸的記錄。
•  個人資料刪除、廢棄的記錄。
•  存取個人資料系統的記錄。
•  定期檢查處理個人資料資訊系統的記錄。
•  對員工執行相關教育訓練的記錄。
•  執行計畫稽核及改善程序的記錄。


記錄管理措施：建立無過失責任的基礎

記錄管理措施：堅實的舉證/鑑識資料
•  各式作業/存取紀錄須具有還原現場之能力，意即
舉證效力
•  常見的方法為利用簽章à加密à封存等技術達到
要求
•  採用通過認證的日誌管理平台是最有效的方式！

威脅與挑戰
12

系統日誌 / 稽核軌跡的特性
幾乎所有設備/系統
皆會產生
依不同廠牌
而有不同格式
文字檔容易修改
保存時間
有法令上之要求
系統日誌
稽核軌跡

Case 1
Case：
(1) 案例：XX政府單位接獲技
服中心通報
(2) 通報內容：一個月前有內
部電腦疑似連接對岸鬼網IP
(3) 通報內容僅有此單位對外
IP
(4) 承辦人員緊急調閱防火牆
日誌
(5) 防火牆日誌不全、記錄時
間沒有進行校時，甚至僅有
大量的syslog儲存，無法從巨
量日誌中找出是哪一部電腦
(6) 最後終於找到了….但是，
找到的卻是Proxy的IP，
Proxy沒有保留日誌。
(7) 資訊安全管理人員：欲哭
無淚~~~~
此案例僅為模擬情境，如有雷同，純屬巧合
1.  沒有集中儲存機制
2.  沒有有效分析工具
3.  沒有明確訂立需保留日誌的作業設備

Case 2
Case：
(1) 案例：個資外洩
(2) 某公司發現有敏感資訊遭竊取
(3) 資訊人員第一時間進行查詢所有
日誌，包含防火牆、入侵偵測系統、
資料庫稽核系統、甚至所有網頁伺
服器日誌，但因為沒有比較明確的
時間，以及明確目標，導致無法協
助檢調單位進行數位鑑識。
(4) 檢調單位最後因為數位鑑識缺乏
資料而導致無法找出個資外洩原因，
此公司最後遭致極大的商譽損失
此案例僅為模擬情境，如有雷同，純屬巧合
1.  沒有集中儲存機制
2.  沒有有效分析工具
3.  缺乏日常安控查核
4.  日誌不具鑑識效力

日誌管理的作為
§ 工具：完善的控管/稽核平台
− 集中式/同質性的記錄管理是管理面絕對必須的工具
§ 範圍：以機敏資訊/單位核心業務為關注範圍
− 完整的稽核軌跡應能連結：人/事/時/地/物
§ 準則：主管機關法規及內部作業規範

靜態事後工具：
日誌管理平台
17

NetIQ
Log Manager
日誌集中
收集保存
日誌資料
正規化
高速搜尋
報表產製
日誌封存
保全
NetIQ SIEM Solution Set

導入Log Manager所帶來之效益
l  日誌的整合收集＆正規化
l  效益：協助設備管理/稽核/風管人員以統一的資料格式，集中的觀察角度分析危安因子
l  便利的報表產製
l  效益：大幅縮短因應各項管理/稽核業務研製報表的作業負擔
l  軌跡資料保存管理
l  效益：確保可達成組織對於軌跡資料留存期間規定之要求
l  效益：對儲存設備投資的合理評估
l  資料完整性確認
l  效益：確保軌跡資料內容的不可否認性＆鑑識稽証效力

即時威脅反應：
SIEM（Security Information
Event Management）
20

NetIQ
Sentinel
即時監控
儀表板
日誌集中
收集保存
關聯分析
引擎
日誌資料
正規化
異常偵測
高速搜尋
報表產製
資安事故
流程管理
日誌封存
保全
NetIQ SIEM Solution Set

導入NetIQ Sentinel SIEM 所帶來之效益
l 即時監控儀表版
l 效益：增強對事件監控之視覺化操作，補強靜態搜
尋之分析缺損
l 關聯分析/異常偵測
l 效益：將事件監控分析達到自動化，智慧化
l 事故流程系統
l 效益：達成事故處理明文化.具體化，可供驗證覆核

即時威脅反應：符合法意/條文的安管措施


Log Manager V.S. SIEM
SIEM
Log Manager
• 事件過濾
• 事件關聯分析
• 事件監控
• 事件報警
• 事故回應管理
• 軌跡資料保存管理
• 軌跡資料壓縮儲存
• 資料完整性確認
• 可接收任何設備的
軌跡資料
• 資料搜索
• 報告產生
擔任系統軌跡資訊管理的角色
擔任資安事故反應管理的角色

回顧：您的單位在記錄管理措施上，做到哪裡了？

失落的拼圖：
身份整合
26

Case 1
§  某企業透過SIEM平台發現內部有電腦感染病毒，但每次清除病毒
一段時間，又會發生中毒的現象。

§  透過IAM所提供的使用者資訊做關連身分追蹤後，才發現原來是
IT人員使用遭感染的USB裝置連接電腦以執行日常維護作業，導
致電腦中毒的情況不斷出現。

Case 2
§  某企業的IAM顯示員工半夜在台北登入系統後，5分鐘後又於高雄
再次登入系統
§  雖然此現象極不合理，但管理人員卻難以判斷該帳號是在不知情
的情況下遭人所盜用？還是該員工擅自將自己的帳號分享給他人
使用？

Case 3
§  是某銀行的系統管理者，透過密碼函的流程申請特權帳號和密碼，
在指定時間內執行昇級維護或程式過版任務，但為一時之便，未
經主管同意，偷開了一個帳號以利日後不時之需。能做到即時通
報和阻止嗎？

全球趨勢與規劃策略
§  遵循Gartner研究機構的最佳規劃與實作建議(Best Practices)
−  Gartner Research Note G00150692: Security Information and Event Management
Complement Identity and Access Management Audits (2007)
−  Gartner Research Note G00162649: Best Practices for Managing Superuser
Privileges (2008)
−  Gartner Research Note G00173382: Top 10 Security Technology Project Priorities
for 2010
§  規劃策略與目標：建置符合 IT GRC 策略的方案架構
− 達成帳號與權限管理自動化（Automation）目標
− 符合法規稽核與日誌管理驗證（Validation）要求

關鍵發現
- 有了SIEM的配合，可以有效補足並延伸IAM(帳號與權限管理)‫‏‬方案中稽核與報告的功能與視野
- 而SIEM(稽核與日誌管理)方案，也需要參考到IAM中的使用者
和資源存取政策的定義，以有效進行使用者活動與行為的關連分析，兩者合作相得益彰。
以IAM+SIEM
達成
User Activity Monitoring
+ Audit

Other
Applications…
Human
Resources
資料庫檢索
/查詢/異動
eMail
AD
LDAP
業務系統
檔案伺服
器
密碼管理
?
存取安全
?
權限管理精
準度
?
幽靈帳號
?
管理成
本,作業
效率
?
帳號資料
一致性
?
認證與
稽核
?
員工
駐外員工
內部員工
約聘員工
臨時雇員
外包合作夥伴
廠商
Windows, Linux, UNIX, 各式DB, AD, LDAP…中皆有帳號
方案定位: 解決IT資源與人員的複雜關係

員工
駐外員工
內部員工
約聘員工
臨時雇員
外包合作夥伴
廠商
Identity
身分整合。單一簽入。存取安全。權限控管。稽核。自動化
Identity Security 方案的定位
Other
Applications…
Human
Resources
資料庫檢索
/查詢/異動

eMail
AD
LDAP
業務系統
檔案伺服
器

Windows, Linux, UNIX, 各式DB, AD, LDAP…中皆有帳號
帳號與權限管理

策略藍圖: Automation and Validation
Supporting Governance, Risk Management, and Compliance
帳號與權限管理
Identity and Access
Management
•  Roles, Rules, Workflow
and Approval Process
•  Identity Integration and
Lifecycle Management
Line-of-Business
Manager
Compliance Manager
CSO, or Auditor
稽核與日誌管理
Security Event
Management
•  Logging, Audit and
Reporting
•  Activity Monitoring
•  Event Correlation
•  Validation and
Remediation
資安政策, 稽核作業
Mainframes
UNIX
Linux
Windows
Apps
Directories
AD, LDAP
Physical
Access
Databases
Firewall
Automate
自動化
Validate
驗證
成為企業IT部署的標準

建置啟用身分識別功能的安全性
識別身分的安全性與法規依循監控
角色型佈建
帳戶同步
帳密管理
稽核作業
即時監控
記錄管理
身份識別管理
安全性監控
權限控管：能做什麼？
帳號管理：建立對應關係
辨識身份：是誰？
軌跡紀錄：做了什麼？
即時自動分析可能違
規/可疑活動
事後調閱事件，產生
符合作業規範的管理
報表

更多有價值的資訊…
§  記錄應將安全性中多方面的事務與多個角色連結：

− 網路安全性 (防火牆、IDS)
− 主機安全性 (管理員、開發人員)
− 法規相符 (稽核、隱私權)
− 物件存取 (機敏資訊及單位關鍵業務平台)
− 建立記錄與其他資料 (如資產、弱點、效能與設定)
之間的相互關聯，可造就更全面的安全性管理循環

兼顧IT治理及法規依循的安全管理週期
日誌管理平台
即時威脅監控
身份管理整合
維安因子審閱
/稽核/作業規
範
結合法規依循項目，修訂/
落實單位作業規範及章程
完備的記錄使用者活動
定期審閱日誌/報表
集中的身分à權限對應管
理，落實以身份為目標的
安全管控
人力分析à智慧性的監測分析工具
事後查核à即時監控/反應

日誌管理/SIEM：匯集各項安控資訊的指揮中心
日誌管理
威脅反應
整合身份驗證
權限控管同步
使用者行為記錄
維運/資產 
參照資料
日誌管理
威脅反應
整合身份驗證
權限控管同步
維運/資產 
參照資料
日誌管理
威脅反應
整合身份驗證
權限控管同步
維運/資產 
參照資料
日誌管理
威脅反應
整合身份驗證
權限控管同步
維運/資產 
參照資料
⽇日誌管理
威脅反應
整合⾝身份驗證
權限控管同步
使⽤用者⾏行為記錄
維運/資產
參照資料

面對資料外洩
及訴訟相關風險
您該怎麼計劃您的
IT投資？

完整架構藍圖

符合資安稽核的帳號管理
NetIQ Identity Manager (IDM)
主機權限.稽核軌跡.異動管理
NetIQ Privileged User Manager (NPUM)
NetIQ Change Guardian
日誌保存
NetIQ Sentinel
LogManager
即時安控管理
NetIQ Sentinel SIEM,
Compliance Platform
整體方案設計

4
Gartner魔術象限 (Magic Quadrant)
“Novell在有關身份及安全管理的四個魔術象限 ,全部
都在右上角的領導者區域 (Leader): user provisioning, web access
Management, enterprise single sign-on and security information and event management (SIEM).”

Novell is the only vendor in the leaders quadrant of Gartner's Magic Quadrant for all four markets: user
provisioning, web access management, enterprise single sign-on and security information and event
management (SIEM).

Worldwide Headquarters
1233 West Loop South, Suite 810
Houston, Texas 77027 USA
Worldwide: 713.548.1700
N. America Toll Free: 1.888.323.6768
Info@NetIQ.com
NetIQ.com
Follow NetIQ:
NetIQ, an Attachmate business.
46

Net iq sentinel log manager (work shop)

More Related Content

What's hot

Viewers also liked

Similar to Net iq sentinel log manager (work shop)

Net iq sentinel log manager (work shop)