ANET YAZILIM

SureLog SIEM International Edition

www.anetyazilim.com.tr

SureLog International Edition

ANET SureLog

SureLog ne değildir?

Sadece bir log toplama, arama (search) ve raporlama aracı değildir.

Sadece bunları yapan ve en iyi yaptığını iddia eden ürünler kadar

iyi yapar ve ayrıca bir SIEM ürünüdür.

Log arama ve raporlama konusunu abartıp en zor ve önemli log

konusuymuş gibi sunmaz! 10 larca çok iyi açık kaynak kodlu log

toplama, arama ve raporlama ürünü olduğunu bilir.

• Twitter log Storm (Apache Storm)

• Kibana/elasticsearch/logstash

• Graylog

• http://www.fluentd.org

ANET SureLog

SIEM Gartner raporlarını hazırlayan ekibin lideri Anton Chuvakin

Gartner blogunda listelediği SIEM

Event Normalization and Taxonomy

Scalable Architecture and Deployment Flexibility

User Activity and Application Monitoring

Analytics and Behavior Profiling

Threat Intelligence

Real-Time Monitoring (Gerçek korelasyon, arama bazlı değil)

Özelliklerinin daha önemli olduğunu düşünüyoruz.

https://www.gartner.com/doc/2785317/evaluation-criteria-security-

information-event

ANET SureLog

SureLog ne değildir?

Datalar/veritabanı üzerinde periyodik sorgular çalıştırıp adına korelasyon

demez.

Temel olarak Kuraların veri tabanı üzerinde çalışmasından kaynaklanan

zaaflar 4 adettir

1. SQL veya NoSQL DB ler üzerinde yüzlerce scriptin belli periyotlarla

çalıştırılması bir performans problemine sebep olur. Çok sayıda kural

yazılamaz

2. Kurallar Hafızada çalışmadığı için olaylar anında yakalanamaz

3. Scriptler [SQL veya NoSQL]) bağımlı olduğu için gelişmiş kurallar

yazılamaz

4. Kurallar (Aslında scriptler [SQL veya NoSQL]) periyodik çalıştırıldığı için

bu periyod içindeki olaylar anında yakalanamaz

Ayrıca bu yöntem global olarak kullanılan bir yöntem de değildir!!

ANET SureLog SIEM Üstünlükleri

Üstünlükleri:

1. Taxonomy

2. Korelasyon Motoru

3. Threat Intelligence

4. Dağıtık Mimari

5. Compliance raporları (Uyum, çeşit ve kolaylık açısından)

• Log Kaynaklarının çeşitliliği• Windows

• Linux

• Network Cihazlarını entegre tek bir compliance raporlarında gösterebilmesi

ANET SureLog SIEM Üstünlükleri

6. Trafik & Güvenlik Analizi Raporları

7. Raporlardaki veri çeşitliliği

8. Yetkilendirme

Korelasyon Avantajları

Gelişmiş ve kompleks korelasyon kurallarını yazabileceğiniz tek yerli

SIEM yazılımıdır.

Ayrıca bu kuralları üreticiye bağımlı kalmadan, görsel olarak

oluşturabilecek kural editörü/sihirbaz mevcuttur.

Korelasyon Avantajları: Taxonomy

150 Marka: A10,Adtran, FireEye, ForeScout, Fortinet, Linux,

Mcafee, Microsoft, NetScaler, Watchguard, Websense, Xirrus,

Zimbra,………

~300 Sistem: Apache, SourceFire, StealthWatch, Windows OS,

Barracuda Web Filter, A10 Load Balancer and A10 Web

Application Firewall, Clam AV, BladeSystem Enclosure auth log,

Tipingpoint SMS, TopLayer IPS 5500 EC-Series and TopLayer IPS

5500 ES-Series appliances,……………….

Korelasyon Avantajları: Taxonomy

1513 Taxonomy grubu

Compromised->RemoteControlApp->Response

HealthStatus->Informational->HighAvailability->LinkStatus->Down

IPTrafficAudit->IP Too many fragments

IPSpoofAccess->ICMP CODE Redirect for the Host

FileTransferTrafficAudit->Authentication Failed

…….

Korelasyon Avantajları: Taxonomy

~300 Sistem ( Apache, SourceFire, StealthWatch, Windows OS,

Barracuda Web Filter, A10 Load Balancer and A10 Web Application

Firewall, Clam AV, BladeSystem Enclosure auth log, Tipingpoint SMS,

TopLayer IPS 5500 EC-Series and TopLayer IPS 5500 ES-Series

appliances ….)

İle ilgili 3 milyon satırlık regex, dynamic keywords ve imzalardan

(signatures) oluşan 3 milyon satırlık analiz kütüphanesi

Rapor Avantajları - Taxonomy:

Aşağıdaki raporları alabileceğiniz yerli bir rakibi yok.

Yabancı rakiplerde de çoğunda bu özellik mevcut değil

Port Scanning loglarının raporları

Protocol Anomaly log raporları

SoftwareInstall log raporları

ProcessStop log raporları

MailSpamDenial log raporları

IPSpoofAccess log raporları

Korelasyon Avantajları: Kurallar

Örnek Kurallar

1

Bir dakika içerisinde 60 adet birbirinden farklı portlardan ama

aynı kaynaktan A olayı olduktan sonra aynı kaynaktan 5 dakika

içerisinde B olayı olup ardından yine aynı kaynaktan C olayı

gerçekleşmez ve ardından yine aynı kaynaktan D olayı

gerçekleşirse uyar

Korelasyon

Örnek Kurallar

3

Saat 12:00 13:30 arasında A olayı X adet olursa uyar

4

Mesai saatleri dışında A olayı olursa uyar ama uyarı miktarı X i

geçerse artık uyarma

Korelasyon

Örnek Kurallar

4

UnusualUDPTraffic üreten kaynak IP yi bildir

5

UnusualTCPTraffic üreten kaynak IP yi bildir

Korelasyon

1. Distributed korelasyon

1. Dağıtık yapıda kurulan ve birden çok slave ile toplanan ve

parse edilen loglar master sunucuda hep birlikte

korelasyona tabi tutulur ve raporlanır.

2. Replikasyon

1. Replikasyon servisi (FileSysnc) ile

3. Fault Tolerans

1. Replikasyon ile birlikte bir sunucuda hata olursa

diğerinden devam mümkün

Korelasyon – Hazır Kural Kütüphanesi

• 500+ Hazır kurala sahip tek yazılımdır.

• Cisco

• Firewalls

• IDS/IPS

• Connections

• General Applications

• FTP

• DNS

• WEB Server

• Security

• Network Monitor

• Telnet

• URL

• Operating Systems

Korelasyon – Hazır Kural Kütüphanesi

• Windows

• User Management

• Group Management

• Machine Management

• Authentication

• Windows Firewall

• Authorization

• Audit Policy

• Software Management

• Access Violation

• File Management

• Risk Management

• Password Management

• Service Management

•

• Performance Monitoring

• File Replication

• Windows File Protection

• Printer

• System Uptime

• NTDS Defragmentation

• Network

• Hardware Errors

Threat Intelligence

SureLog dinamik İnternet tehdidi

verilerini korelasyona ekler.

İnternet tehditlerine ilişkin son dakika

verilerle SureLog tehdit analizi

yeteneklerinin zenginleştirilmesi,

kuruluşların yeni tehditleri daha kısa

sürede görmesine, saldırıları

önlemesine ya da en aza indirmesine

yardımcı olur.

Threat Intelligence

• URL Reputation (URL Havuzu):En son çıkan bütün phishing,proxy ve diğer kötü niyetli

tehditleri tespit etmek

• IP Reputation(IP Havuzu): Bot,phishing,DOS,scanners,spam kaynakları ve Windows

exploitlerini tespit etmek

• DNS-BH – Malware Domain Blocklist

• Comprimised Ips

Listeleri aşağıdaki ve başka kaynaklardan canlı olarak derlenir:

• IPvoid.com

• Robtex.com

• Fortiguard.com

• unshorten.me

• Urlvoid.com

• ThreatExpert

• VxVault

• VirusTotal

Dağıtık Mimari

Master-Slave modda kurulum. Yüzbinlerce EPS kapasitesi

ve merkezi korelasyon

Dağıtık Mimari

• Çok noktadan log toplama ile çok yüksek log yakalama

hızı

• Paralel processing ile yük dağılımı

• Merkezi raporlama

• Merkezi korelasyon

Analiz ve Raporlar- Trafik Analizi

Toplam trafik istatistiği

Analiz ve Raporlar- Trafik Analizi

Resimdeki örnekte olduğu gibi raporlarında aşağıdaki verileri aynı anda işleyebilen tek yazılım

Toplam oluşturduğu trafiği MB olarak

Toplam gönderdiği trafiği MB olarak

Toplam aldığı trafiği MB olarak

ve % olarak oranlarını verebilmekte.

Analiz ve Raporlar

Ayrıca Firewallar için istatistiksel trafik ve güvenlik analiz modülü mevcut tek ürün

Rapor=Analiz

Analiz ve Raporlar

Örnek Raporlar

• Son 1 ay içerisinde en çok trafik oluşturan kullanıcılar, bu kullanıcıların toplamda ne kadar trafik ürettiği

Bu üretilen trafiğin ne kadarı upload, ne kadarı download için kullanılmış, Toplam trafiğin % kaçını oluşturmuş

ve bu trafiği oluştururken hangi protokolleri kullanmış

http://www.slideshare.net/anetertugrul/traffic-reports

• Son hafta en çok saldırı yapan makinler , en çok saldırı yapılan makinler

• http://www.slideshare.net/anetertugrul/surelog-attack-reports

Raporlar

Hazır yüzlerce raporla birlikte özel Trafik ve

Güvenlik Analiz Raporları

• Traffic Reports

• Protocol Usage Reports

• Web Usage Reports

• Mail Usage Reports

• FTP Usage Reports

• Telnet Usage Reports

• Streaming & Chat Reports

• Virus Reports

• Attack Reports

• Spam Reports

• Protocol Trend Reports

• Intranet Reports

• Internet Reports

• Event Summary Reports

• VPN Reports

• Traffic Trend Reports

• Event Trend Reports

• URL Report

• Firewall Rules Reports

• Inbound & Outbound Traffic

Yetkilendirme

Kullanıcılar dahil oldukları gruba göre

• Log Kaynağı

• Kaynak IP

• Hedef IP

• Kullanıcı Adı

• Bilgisayar Adı

Göre yetkilendirilip. Sadece kendi yetkisindeki logları görebilir.

Log Zenginleştirme

• Bütün loglara MAC ekleyebilme. (DHCP sunucu ile entegrasyon)

• Windows loglarına IP ekleyebilme. (IF/Name conversion)

• TAG ekleyebilme

ANET YAZILIM

İletişim Bilgileri

Doğu Mah. Bilge Sok. No:2 Kat 5 No 4

Pendik/İstanbul

T: 0216 3540580-81

F: 0216 3540580

www.anetyazilim.com.tr

www.anetyazilim.com