log elemzés és log mining oracle eszközökkel
DESCRIPTION
Az idei HOUG 2010 konferencián Földi Tamás képviseli eloadásával a Starschema Kft-t az adatbiztonság és compliance szekcióban. A prezentációja célja a vállalati informatikai eszközökben felgyülemlo naplóbejegyzések elemzési lehetoségeinek bemutatása adattárházas és adatbányászati eszközökkel, felhasználva a jelenlegi Oracle és Starschema termékportfólió innovatív megoldásait.TRANSCRIPT
![Page 2: Log elemzés és Log Mining Oracle eszközökkel](https://reader036.vdocuments.mx/reader036/viewer/2022070316/5560b289d8b42af93b8b47a8/html5/thumbnails/2.jpg)
www.starschema.net
Tartalom
Starschema ThreatMiner
Oracle Database Vault
Megvalósítás – Oracle termékekkel
Log mining – logok adatbányászata
Naplózás és logelemzés
![Page 3: Log elemzés és Log Mining Oracle eszközökkel](https://reader036.vdocuments.mx/reader036/viewer/2022070316/5560b289d8b42af93b8b47a8/html5/thumbnails/3.jpg)
Starschema
Adattárház és üzleti intelligencia Oracle technológiák SAP partner
Informatikai biztonság Adattárház biztonság IS Audit
Termékfejlesztés Egyedi szoftverfejlesztés Dobozos szoftverfejlesztés
www.starschema.net
![Page 4: Log elemzés és Log Mining Oracle eszközökkel](https://reader036.vdocuments.mx/reader036/viewer/2022070316/5560b289d8b42af93b8b47a8/html5/thumbnails/4.jpg)
Mi történhetett?
1. Rendszergazda elhagyja a szervertermet
2. Rendszergazda belép az adatbázisba
www.starschema.net
3. Az adatbázis szerver webes kapcsolatot létesít az Internet felé (böngészés)
![Page 5: Log elemzés és Log Mining Oracle eszközökkel](https://reader036.vdocuments.mx/reader036/viewer/2022070316/5560b289d8b42af93b8b47a8/html5/thumbnails/5.jpg)
Logelemzés
Források IDS Tűzfalak, proxy-k Hálózati infrastruktúra Szerverek Adatbázisok Üzleti alkalmazások Intelligens épületek,
irodai infrastruktúra
Logelemzés Előállítás Összegyűjtés Előszűrés Aggregálás Konszolidálás Riasztás Tárolás (Hitelesítés) Riportolás Döntéshozás Cselekvés
www.starschema.net
![Page 6: Log elemzés és Log Mining Oracle eszközökkel](https://reader036.vdocuments.mx/reader036/viewer/2022070316/5560b289d8b42af93b8b47a8/html5/thumbnails/6.jpg)
www.starschema.net
Logelemzés: Miért?
Kockázatok csökkentése Új fenyegetettségek észlelése Konszolidált naplók kiaknázása
Beavatkozást igénylő események automatikus kigyűjtése
A biztonság mérése (KPI-ok, trendek)Compliance, jogszabályi kötelezettség
PCI, PSzÁFIncidensek kezelése
![Page 7: Log elemzés és Log Mining Oracle eszközökkel](https://reader036.vdocuments.mx/reader036/viewer/2022070316/5560b289d8b42af93b8b47a8/html5/thumbnails/7.jpg)
Logelemzés: Hogyan?
Manuálisan On-site, off-site
Filterezés Reguláris kifejezések
Aggregálás, összegzés Lefúrható riportok Grafikonok
Korrelációs elemzésKlasszifikációs elemzés
www.starschema.net
![Page 8: Log elemzés és Log Mining Oracle eszközökkel](https://reader036.vdocuments.mx/reader036/viewer/2022070316/5560b289d8b42af93b8b47a8/html5/thumbnails/8.jpg)
Logelemzés: Mikor?
Valós időben Korrelációra, komplex filterezésre nincs idő Néhány adat önmagában még nem tartalmaz
elegendő információtKésleltetve
„Egy nappal később vagy soha” Az elemzés értéke az idő múlásával csökken Napi rutin része
Naplókezelés és riasztás kezelés Különböző igények
www.starschema.net
![Page 9: Log elemzés és Log Mining Oracle eszközökkel](https://reader036.vdocuments.mx/reader036/viewer/2022070316/5560b289d8b42af93b8b47a8/html5/thumbnails/9.jpg)
Logelemzés: Mit?
Ritka, normálistól eltérő esetekMegszokott események elmaradásaNormális események láncolata
Felhasználó belép a konzolon és VPN-en Egy weboldal megnyitása majd konfiguráció
változás
Összegzett adatok, arányok megváltozása Felhasználó belépések, belépési hibák
www.starschema.net
![Page 10: Log elemzés és Log Mining Oracle eszközökkel](https://reader036.vdocuments.mx/reader036/viewer/2022070316/5560b289d8b42af93b8b47a8/html5/thumbnails/10.jpg)
Log Mining: Definíció
Data Mining (adatbányászat): Az elemző számára érdekes (nem triviális, egyértelmű, előzetesen ismeretlen és vélhetően hasznos) információk vagy tudás kinyerése nagy mennyiségű adatból.
Log Mining: Logelemzés adatbányászati eszközökkel
www.starschema.net
![Page 11: Log elemzés és Log Mining Oracle eszközökkel](https://reader036.vdocuments.mx/reader036/viewer/2022070316/5560b289d8b42af93b8b47a8/html5/thumbnails/11.jpg)
Log Mining: Eszköztár
Szóráselemzés (Deviation analysis) Célértékek és eltérései Kilógás
Osztályozás Naive bayes
Klaszterezés (Clustering)Association Rule Learning
Összefüggések tanulása
www.starschema.net
![Page 12: Log elemzés és Log Mining Oracle eszközökkel](https://reader036.vdocuments.mx/reader036/viewer/2022070316/5560b289d8b42af93b8b47a8/html5/thumbnails/12.jpg)
www.starschema.net
Log Mining: Előfeltételek
Központosított Egy helyen elérhető
Konszolidált Az összes adatforrás elérhető
Gyors adattárolás Adattárház szerű MPP, Columnar
• Exadata Partícionált, Tömörített
• Oracle RDBMS
![Page 13: Log elemzés és Log Mining Oracle eszközökkel](https://reader036.vdocuments.mx/reader036/viewer/2022070316/5560b289d8b42af93b8b47a8/html5/thumbnails/13.jpg)
LÉTEZŐMEGOLDÁSOK
www.starschema.net
![Page 14: Log elemzés és Log Mining Oracle eszközökkel](https://reader036.vdocuments.mx/reader036/viewer/2022070316/5560b289d8b42af93b8b47a8/html5/thumbnails/14.jpg)
Oracle Audit Vault
Centralizált, biztonságosKonszolidáltProaktív védelemAdattárház, riportok
SOX, HIPAA, PCI, DSS riportok Oracle BI Publisher, APEX
Teljes körű adatbázis audit log kezelés, azonban alkalmazás- és rendszerszintet nem támogat
www.starschema.net
![Page 15: Log elemzés és Log Mining Oracle eszközökkel](https://reader036.vdocuments.mx/reader036/viewer/2022070316/5560b289d8b42af93b8b47a8/html5/thumbnails/15.jpg)
ThreatMiner
Adattárház és adatbányászat Oracle RDBMS Orace Data Mining option Oracle Application Express, BIEE riportok
Jellemzők Legtöbb informatikai rendszer támogatott Irányított tanulás (false positive feedback) Compliance riportok Audit Vault-tal integrálható
• OAV adat és más rendszer együtt elemezhető
www.starschema.net
![Page 16: Log elemzés és Log Mining Oracle eszközökkel](https://reader036.vdocuments.mx/reader036/viewer/2022070316/5560b289d8b42af93b8b47a8/html5/thumbnails/16.jpg)
ThreatMiner architektúra
www.starschema.net
![Page 17: Log elemzés és Log Mining Oracle eszközökkel](https://reader036.vdocuments.mx/reader036/viewer/2022070316/5560b289d8b42af93b8b47a8/html5/thumbnails/17.jpg)
Összefoglalás
Logokat elemezni nem csak hasznos, de kötelező is
Az egyszerű elemzés korlátos és erőforrás igényes
A log mining egyszerűsíti a logok elemzését
Vannak rá kész megoldások
www.starschema.net