anet surelog siem international edition
TRANSCRIPT
ANET YAZILIM
SureLog SIEM International Edition
www.anetyazilim.com.tr
SureLog International Edition
ANET SureLog
SureLog ne değildir?
Sadece bir log toplama, arama (search) ve raporlama aracı değildir.
Sadece bunları yapan ve en iyi yaptığını iddia eden ürünler kadar
iyi yapar ve ayrıca bir SIEM ürünüdür.
Log arama ve raporlama konusunu abartıp en zor ve önemli log
konusuymuş gibi sunmaz! 10 larca çok iyi açık kaynak kodlu log
toplama, arama ve raporlama ürünü olduğunu bilir.
• Twitter log Storm (Apache Storm)
• Kibana/elasticsearch/logstash
• Graylog
• http://www.fluentd.org
ANET SureLog
SIEM Gartner raporlarını hazırlayan ekibin lideri Anton Chuvakin
Gartner blogunda listelediği SIEM
Event Normalization and Taxonomy
Scalable Architecture and Deployment Flexibility
User Activity and Application Monitoring
Analytics and Behavior Profiling
Threat Intelligence
Real-Time Monitoring (Gerçek korelasyon, arama bazlı değil)
Özelliklerinin daha önemli olduğunu düşünüyoruz.
https://www.gartner.com/doc/2785317/evaluation-criteria-security-
information-event
ANET SureLog
SureLog ne değildir?
Datalar/veritabanı üzerinde periyodik sorgular çalıştırıp adına korelasyon
demez.
Temel olarak Kuraların veri tabanı üzerinde çalışmasından kaynaklanan
zaaflar 4 adettir
1. SQL veya NoSQL DB ler üzerinde yüzlerce scriptin belli periyotlarla
çalıştırılması bir performans problemine sebep olur. Çok sayıda kural
yazılamaz
2. Kurallar Hafızada çalışmadığı için olaylar anında yakalanamaz
3. Scriptler [SQL veya NoSQL]) bağımlı olduğu için gelişmiş kurallar
yazılamaz
4. Kurallar (Aslında scriptler [SQL veya NoSQL]) periyodik çalıştırıldığı için
bu periyod içindeki olaylar anında yakalanamaz
Ayrıca bu yöntem global olarak kullanılan bir yöntem de değildir!!
ANET SureLog SIEM Üstünlükleri
Üstünlükleri:
1. Taxonomy
2. Korelasyon Motoru
3. Threat Intelligence
4. Dağıtık Mimari
5. Compliance raporları (Uyum, çeşit ve kolaylık açısından)
• Log Kaynaklarının çeşitliliği• Windows
• Linux
• Network Cihazlarını entegre tek bir compliance raporlarında gösterebilmesi
ANET SureLog SIEM Üstünlükleri
6. Trafik & Güvenlik Analizi Raporları
7. Raporlardaki veri çeşitliliği
8. Yetkilendirme
Korelasyon Avantajları
Gelişmiş ve kompleks korelasyon kurallarını yazabileceğiniz tek yerli
SIEM yazılımıdır.
Ayrıca bu kuralları üreticiye bağımlı kalmadan, görsel olarak
oluşturabilecek kural editörü/sihirbaz mevcuttur.
Korelasyon Avantajları: Taxonomy
150 Marka: A10,Adtran, FireEye, ForeScout, Fortinet, Linux,
Mcafee, Microsoft, NetScaler, Watchguard, Websense, Xirrus,
Zimbra,………
~300 Sistem: Apache, SourceFire, StealthWatch, Windows OS,
Barracuda Web Filter, A10 Load Balancer and A10 Web
Application Firewall, Clam AV, BladeSystem Enclosure auth log,
Tipingpoint SMS, TopLayer IPS 5500 EC-Series and TopLayer IPS
5500 ES-Series appliances,……………….
Korelasyon Avantajları: Taxonomy
1513 Taxonomy grubu
Compromised->RemoteControlApp->Response
HealthStatus->Informational->HighAvailability->LinkStatus->Down
IPTrafficAudit->IP Too many fragments
IPSpoofAccess->ICMP CODE Redirect for the Host
FileTransferTrafficAudit->Authentication Failed
…….
Korelasyon Avantajları: Taxonomy
~300 Sistem ( Apache, SourceFire, StealthWatch, Windows OS,
Barracuda Web Filter, A10 Load Balancer and A10 Web Application
Firewall, Clam AV, BladeSystem Enclosure auth log, Tipingpoint SMS,
TopLayer IPS 5500 EC-Series and TopLayer IPS 5500 ES-Series
appliances ….)
İle ilgili 3 milyon satırlık regex, dynamic keywords ve imzalardan
(signatures) oluşan 3 milyon satırlık analiz kütüphanesi
Rapor Avantajları - Taxonomy:
Aşağıdaki raporları alabileceğiniz yerli bir rakibi yok.
Yabancı rakiplerde de çoğunda bu özellik mevcut değil
Port Scanning loglarının raporları
Protocol Anomaly log raporları
SoftwareInstall log raporları
ProcessStop log raporları
MailSpamDenial log raporları
IPSpoofAccess log raporları
Korelasyon Avantajları: Kurallar
Örnek Kurallar
1
Bir dakika içerisinde 60 adet birbirinden farklı portlardan ama
aynı kaynaktan A olayı olduktan sonra aynı kaynaktan 5 dakika
içerisinde B olayı olup ardından yine aynı kaynaktan C olayı
gerçekleşmez ve ardından yine aynı kaynaktan D olayı
gerçekleşirse uyar
Korelasyon
Örnek Kurallar
3
Saat 12:00 13:30 arasında A olayı X adet olursa uyar
4
Mesai saatleri dışında A olayı olursa uyar ama uyarı miktarı X i
geçerse artık uyarma
Korelasyon
Örnek Kurallar
4
UnusualUDPTraffic üreten kaynak IP yi bildir
5
UnusualTCPTraffic üreten kaynak IP yi bildir
Korelasyon
1. Distributed korelasyon
1. Dağıtık yapıda kurulan ve birden çok slave ile toplanan ve
parse edilen loglar master sunucuda hep birlikte
korelasyona tabi tutulur ve raporlanır.
2. Replikasyon
1. Replikasyon servisi (FileSysnc) ile
3. Fault Tolerans
1. Replikasyon ile birlikte bir sunucuda hata olursa
diğerinden devam mümkün
Korelasyon – Hazır Kural Kütüphanesi
• 500+ Hazır kurala sahip tek yazılımdır.
• Cisco
• Firewalls
• IDS/IPS
• Connections
• General Applications
• FTP
• DNS
• WEB Server
• Security
• Network Monitor
• Telnet
• URL
• Operating Systems
Korelasyon – Hazır Kural Kütüphanesi
• Windows
• User Management
• Group Management
• Machine Management
• Authentication
• Windows Firewall
• Authorization
• Audit Policy
• Software Management
• Access Violation
• File Management
• Risk Management
• Password Management
• Service Management
•
• Performance Monitoring
• File Replication
• Windows File Protection
• Printer
• System Uptime
• NTDS Defragmentation
• Network
• Hardware Errors
Threat Intelligence
SureLog dinamik İnternet tehdidi
verilerini korelasyona ekler.
İnternet tehditlerine ilişkin son dakika
verilerle SureLog tehdit analizi
yeteneklerinin zenginleştirilmesi,
kuruluşların yeni tehditleri daha kısa
sürede görmesine, saldırıları
önlemesine ya da en aza indirmesine
yardımcı olur.
Threat Intelligence
• URL Reputation (URL Havuzu):En son çıkan bütün phishing,proxy ve diğer kötü niyetli
tehditleri tespit etmek
• IP Reputation(IP Havuzu): Bot,phishing,DOS,scanners,spam kaynakları ve Windows
exploitlerini tespit etmek
• DNS-BH – Malware Domain Blocklist
• Comprimised Ips
Listeleri aşağıdaki ve başka kaynaklardan canlı olarak derlenir:
• IPvoid.com
• Robtex.com
• Fortiguard.com
• unshorten.me
• Urlvoid.com
• ThreatExpert
• VxVault
• VirusTotal
Dağıtık Mimari
Master-Slave modda kurulum. Yüzbinlerce EPS kapasitesi
ve merkezi korelasyon
Dağıtık Mimari
• Çok noktadan log toplama ile çok yüksek log yakalama
hızı
• Paralel processing ile yük dağılımı
• Merkezi raporlama
• Merkezi korelasyon
Analiz ve Raporlar- Trafik Analizi
Toplam trafik istatistiği
Analiz ve Raporlar- Trafik Analizi
Resimdeki örnekte olduğu gibi raporlarında aşağıdaki verileri aynı anda işleyebilen tek yazılım
Toplam oluşturduğu trafiği MB olarak
Toplam gönderdiği trafiği MB olarak
Toplam aldığı trafiği MB olarak
ve % olarak oranlarını verebilmekte.
Analiz ve Raporlar
Ayrıca Firewallar için istatistiksel trafik ve güvenlik analiz modülü mevcut tek ürün
Rapor=Analiz
Analiz ve Raporlar
Örnek Raporlar
• Son 1 ay içerisinde en çok trafik oluşturan kullanıcılar, bu kullanıcıların toplamda ne kadar trafik ürettiği
Bu üretilen trafiğin ne kadarı upload, ne kadarı download için kullanılmış, Toplam trafiğin % kaçını oluşturmuş
ve bu trafiği oluştururken hangi protokolleri kullanmış
http://www.slideshare.net/anetertugrul/traffic-reports
• Son hafta en çok saldırı yapan makinler , en çok saldırı yapılan makinler
• http://www.slideshare.net/anetertugrul/surelog-attack-reports
Raporlar
Hazır yüzlerce raporla birlikte özel Trafik ve
Güvenlik Analiz Raporları
• Traffic Reports
• Protocol Usage Reports
• Web Usage Reports
• Mail Usage Reports
• FTP Usage Reports
• Telnet Usage Reports
• Streaming & Chat Reports
• Virus Reports
• Attack Reports
• Spam Reports
• Protocol Trend Reports
• Intranet Reports
• Internet Reports
• Event Summary Reports
• VPN Reports
• Traffic Trend Reports
• Event Trend Reports
• URL Report
• Firewall Rules Reports
• Inbound & Outbound Traffic
Yetkilendirme
Kullanıcılar dahil oldukları gruba göre
• Log Kaynağı
• Kaynak IP
• Hedef IP
• Kullanıcı Adı
• Bilgisayar Adı
Göre yetkilendirilip. Sadece kendi yetkisindeki logları görebilir.
Log Zenginleştirme
• Bütün loglara MAC ekleyebilme. (DHCP sunucu ile entegrasyon)
• Windows loglarına IP ekleyebilme. (IF/Name conversion)
• TAG ekleyebilme
ANET YAZILIM
İletişim Bilgileri
Doğu Mah. Bilge Sok. No:2 Kat 5 No 4
Pendik/İstanbul
T: 0216 3540580-81
F: 0216 3540580
www.anetyazilim.com.tr
www.anetyazilim.com