net iq sentinel log manager (work shop)

© 2012 NetIQ Corporation. All rights reserved.

日誌分析 / 即時監控 / 身份管理三合一描繪資安新藍圖

Novell/NetIQ 台灣區產品經理李民偉


Agenda

§ 為什麼記錄管理如此重要？

§ 威脅與挑戰

§ 靜態事後工具 - 日誌管理平台

§ 即時威脅反應 - SIEM

§ 失落的拼圖 - 身份整合

§ 解決方案藍圖


為什麼記錄管理如此重要？

3


資訊/稽核人員面臨的環境

資料傳送 traps &報警動態I/O 設定檔修改

Log

原始碼存取活動報告

系統日誌

稽核軌跡


§ 資訊人員日常管理作業

§ 服務/程式/網路偵錯及效能調校

§ 內控/內稽/違規存取分析

§ 資安事故分析

記錄管理在實務層面的效益

掌握LOG，就掌握整個IT環境的活動！


§ 主管機關法規依循/標準導入

§ 訴訟舉證

記錄管理在法規依循層面的效益


個資法的壓力及出口…

•  個資法第29條： •  非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。


達成法規條文規範/要求是最基礎的目標：

§  個資法第6, 18, 27條相關規定

§  個資法施行細則第12條：��

§  一、配置管理之人員及相當資源。

§  二、界定個人資料之範圍。

§  三、個人資料之風險評估及管理機制。

§  四、事故之預防、通報及應變機制。

§  五、個人資料蒐集、處理及利用之內部管理程序。

§  六、資料安全管理及人員管理。

§  七、認知宣導及教育訓練。

§  八、設備安全管理。

§  九、資料安全稽核機制。

§  十、使用紀錄、軌跡資料及證據保存。

§  十一、個人資料安全維護之整體持續改善。
















•  因應個資事件發生所採取行為的記錄。

•  確認受託人執行委託人要求事項的記錄。

•  提供當事人行使權利的記錄。

•  確認個人資料正確性及更正的記錄。

•  個資存取權限新增、變動及刪除的記錄。

•  違反權限存取個資行為的記錄。

•  備份及還原測試的記錄。

•  個人資料交付、傳輸的記錄。

•  個人資料刪除、廢棄的記錄。

•  存取個人資料系統的記錄。

•  定期檢查處理個人資料資訊系統的記錄。

•  對員工執行相關教育訓練的記錄。

•  執行計畫稽核及改善程序的記錄。
















記錄管理措施：建立無過失責任的基礎


記錄管理措施：堅實的舉證/鑑識資料

•  各式作業/存取紀錄須具有還原現場之能力，意即舉證效力

•  常見的方法為利用簽章à加密à封存等技術達到要求

•  採用通過認證的日誌管理平台是最有效的方式！


威脅與挑戰

12


系統日誌 / 稽核軌跡的特性

幾乎所有設備/系統

皆會產生

依不同廠牌

而有不同格式

文字檔容易修改保存時間

有法令上之要求

系統日誌

稽核軌跡


Case 1

Case： (1) 案例：XX政府單位接獲技

服中心通報 (2) 通報內容：一個月前有內部電腦疑似連接對岸鬼網IP (3) 通報內容僅有此單位對外

IP (4) 承辦人員緊急調閱防火牆

日誌 (5) 防火牆日誌不全、記錄時間沒有進行校時，甚至僅有大量的syslog儲存，無法從巨量日誌中找出是哪一部電腦 (6) 最後終於找到了….但是，

找到的卻是Proxy的IP，Proxy沒有保留日誌。

(7) 資訊安全管理人員：欲哭無淚~~~~

此案例僅為模擬情境，如有雷同，純屬巧合

1.  沒有集中儲存機制 2.  沒有有效分析工具

3.  沒有明確訂立需保留日誌的作業設備


Case 2

Case： (1) 案例：個資外洩

(2) 某公司發現有敏感資訊遭竊取 (3) 資訊人員第一時間進行查詢所有日誌，包含防火牆、入侵偵測系統、資料庫稽核系統、甚至所有網頁伺服器日誌，但因為沒有比較明確的時間，以及明確目標，導致無法協

助檢調單位進行數位鑑識。 (4) 檢調單位最後因為數位鑑識缺乏資料而導致無法找出個資外洩原因，此公司最後遭致極大的商譽損失

此案例僅為模擬情境，如有雷同，純屬巧合

1.  沒有集中儲存機制 2.  沒有有效分析工具 3.  缺乏日常安控查核 4.  日誌不具鑑識效力


日誌管理的作為

§ 工具：完善的控管/稽核平台 − 集中式/同質性的記錄管理是管理面絕對必須的工具

§ 範圍：以機敏資訊/單位核心業務為關注範圍 − 完整的稽核軌跡應能連結：人/事/時/地/物

§ 準則：主管機關法規及內部作業規範


靜態事後工具： ��日誌管理平台

17


NetIQ ��Log Manager

日誌集中收集&保存

日誌資料正規化

高速搜尋報表產製

日誌封存保全

NetIQ SIEM Solution Set


導入Log Manager所帶來之效益

l  日誌的整合收集＆正規化

l  效益：協助設備管理/稽核/風管人員以統一的資料格式，集中的觀察角度分析危安因子

l  便利的報表產製

l  效益：大幅縮短因應各項管理/稽核業務研製報表的作業負擔

l  軌跡資料保存管理

l  效益：確保可達成組織對於軌跡資料留存期間規定之要求

l  效益：對儲存設備投資的合理評估

l  資料完整性確認

l  效益：確保軌跡資料內容的不可否認性＆鑑識稽証效力


即時威脅反應：��SIEM（Security Information Event Management）

20


NetIQ��Sentinel

即時監控儀表板

日誌集中收集&保存

關聯分析引擎

日誌資料正規化

異常偵測

高速搜尋報表產製

資安事故流程管理

日誌封存保全

NetIQ SIEM Solution Set


導入NetIQ Sentinel SIEM 所帶來之效益

l 即時監控儀表版

l 效益：增強對事件監控之視覺化操作，補強靜態搜尋之分析缺損

l 關聯分析/異常偵測

l 效益：將事件監控分析達到自動化，智慧化

l 事故流程系統

l 效益：達成事故處理明文化.具體化，可供驗證覆核


即時威脅反應：符合法意/條文的安管措施















Log Manager V.S. SIEM

SIEM Log Manager

• 事件過濾 • 事件關聯分析 • 事件監控 • 事件報警 • 事故回應管理

• 軌跡資料保存管理 • 軌跡資料壓縮儲存 • 資料完整性確認 • 可接收任何設備的軌跡資料

• 資料搜索 • 報告產生

擔任系統軌跡資訊管理的角色擔任資安事故反應管理的角色


回顧：您的單位在記錄管理措施上，做到哪裡了？


失落的拼圖：��身份整合

26


Case 1

§  某企業透過SIEM平台發現內部有電腦感染病毒，但每次清除病毒一段時間，又會發生中毒的現象。

§  透過IAM所提供的使用者資訊做關連身分追蹤後，才發現原來是IT人員使用遭感染的USB裝置連接電腦以執行日常維護作業，導致電腦中毒的情況不斷出現。


Case 2

§  某企業的IAM顯示員工半夜在台北登入系統後，5分鐘後又於高雄再次登入系統

§  雖然此現象極不合理，但管理人員卻難以判斷該帳號是在不知情的情況下遭人所盜用？還是該員工擅自將自己的帳號分享給他人使用？


Case 3

§  是某銀行的系統管理者，透過密碼函的流程申請特權帳號和密碼，在指定時間內執行昇級維護或程式過版任務，但為一時之便，未經主管同意，偷開了一個帳號以利日後不時之需。能做到即時通報和阻止嗎？


全球趨勢與規劃策略

§  遵循Gartner研究機構的最佳規劃與實作建議(Best Practices)

−  Gartner Research Note G00150692: Security Information and Event Management Complement Identity and Access Management Audits (2007)

−  Gartner Research Note G00162649: Best Practices for Managing Superuser Privileges (2008)

−  Gartner Research Note G00173382: Top 10 Security Technology Project Priorities for 2010

§  規劃策略與目標：建置符合 IT GRC 策略的方案架構

− 達成帳號與權限管理自動化（Automation）目標

− 符合法規稽核與日誌管理驗證（Validation）要求


關鍵發現

- 有了SIEM的配合，可以有效補足並延伸IAM(帳號與權限管理)‏方案中稽核與報告的功能與視野

- 而SIEM(稽核與日誌管理)方案，也需要參考到IAM中的使用者

和資源存取政策的定義，以有效進行使用者活動與行為的關連分析，兩者合作相得益彰。

以IAM+SIEM 達成

User Activity Monitoring + Audit


Other

Applications… Human

Resources

資料庫檢索/查詢/異動

eMail AD

LDAP

業務系統檔案伺服器

密碼管理

? 存取安全

?

權限管理精準度

?

幽靈帳號

?

管理成本,作業效率

? 帳號資料

一致性 ?

認證與稽核 ?

員工駐外員工內部員工約聘員工臨時雇員外包合作夥伴廠商

Windows, Linux, UNIX, 各式DB, AD, LDAP…中皆有帳號

方案定位: 解決IT資源與人員的複雜關係


員工駐外員工內部員工約聘員工臨時雇員外包合作夥伴廠商

Identity

身分整合。單一簽入。存取安全。權限控管。稽核。自動化

Identity & Security 方案的定位

Other

Applications… Human

Resources

資料庫檢索/查詢/異動

eMail AD

LDAP

業務系統檔案伺服器

Windows, Linux, UNIX, 各式DB, AD, LDAP…中皆有帳號

帳號與權限管理


策略藍圖: Automation and Validation��Supporting Governance, Risk Management, and Compliance

帳號與權限管理 Identity and Access

Management

•  Roles, Rules, Workflow and Approval Process

•  Identity Integration and Lifecycle Management

Line-of-Business Manager

Compliance Manager CSO, or Auditor

稽核與日誌管理 Security Event

Management •  Logging, Audit and

Reporting

•  Activity Monitoring

•  Event Correlation

•  Validation and Remediation

資安政策, 稽核作業

Mainframes UNIX Linux

Windows Apps Directories AD, LDAP

Physical Access

Databases Firewall

Automate 自動化

Validate 驗證

成為企業IT部署的標準


建置啟用身分識別功能的安全性

識別身分的安全性與法規依循監控

角色型佈建

帳戶同步

帳密管理

稽核作業

即時監控

記錄管理

身份識別管理安全性監控

權限控管：能做什麼？

帳號管理：建立對應關係

辨識身份：是誰？軌跡紀錄：做了什麼？

即時自動分析可能違規/可疑活動

事後調閱事件，產生符合作業規範的管理

報表


更多有價值的資訊…

§ 記錄應將安全性中多方面的事務與多個角色連結：�� − 網路安全性 (防火牆、IDS)

− 主機安全性 (管理員、開發人員)

− 法規相符 (稽核、隱私權)

− 物件存取 (機敏資訊及單位關鍵業務平台)

− 建立記錄與其他資料 (如資產、弱點、效能與設定) ��之間的相互關聯，可造就更全面的安全性管理循環


兼顧IT治理及法規依循的安全管理週期

日誌管理平台

即時威脅監控身份管理整合

維安因子審閱/稽核/作業規

範

結合法規依循項目，修訂/落實單位作業規範及章程

完備的記錄使用者活動

定期審閱日誌/報表

集中的身分à權限對應管理，落實以身份為目標的

安全管控

人力分析à智慧性的監測分析工具

事後查核à即時監控/反應


日誌管理/SIEM：匯集各項安控資訊的指揮中心

日誌管理威脅反應

整合身份驗證

權限控管同步

使用者行為記錄

維運/資產參照資料


整合身份驗證

權限控管同步




整合身份驗證

權限控管同步




整合身份驗證

權限控管同步



⽇日誌管理威脅反應

整合⾝身份驗證

權限控管同步

使⽤用者⾏行為記錄

維運/資產��參照資料


面對資料外洩及訴訟相關風險

您該怎麼計劃您的IT投資？


About Us

經過數次財務&品牌上的整併 Novell旗下主力產品(身份認證/存取管理/日誌管理/SIEM)相關產品線

改由NetIQ進行銷售 Attachmate集團中四個BU的產品

在台灣統一由原有之Novell台灣辦公室銷售及售後服務


完整架構藍圖


符合資安稽核的帳號管理NetIQ Identity Manager (IDM)

主機權限.稽核軌跡.異動管理 NetIQ Privileged User Manager (NPUM)

NetIQ Change Guardian

日誌保存 NetIQ Sentinel LogManager

即時安控管理 NetIQ Sentinel SIEM, Compliance Platform

整體方案設計


Gartner魔術象限 (Magic Quadrant)

“Novell在有關身份及安全管理的四個魔術象限 ,全部� 都在右上角的領導者區域 (Leader): user provisioning, web access�

Management, enterprise single sign-on and security information and event management (SIEM).”� �

Novell is the only vendor in the leaders quadrant of Gartner's Magic Quadrant for all four markets: user provisioning, web access management, enterprise single sign-on and security information and event

management (SIEM).� �

Worldwide Headquarters 1233 West Loop South, Suite 810 Houston, Texas 77027 USA Worldwide: 713.548.1700 N. America Toll Free: 1.888.323.6768 [email protected] NetIQ.com

Follow NetIQ:

NetIQ, an Attachmate business. © 2011 NetIQ Corporation. All rights reserved.

46

net iq sentinel log manager (work shop)

Documents