Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Infraskope Server 2012 Murat Eraydın Karmasis Murat Eraydın Karmasis.

Benzer bir sunumlar


... konulu sunumlar: "Infraskope Server 2012 Murat Eraydın Karmasis Murat Eraydın Karmasis."— Sunum transkripti:

1 Infraskope Server 2012 Murat Eraydın Karmasis Murat Eraydın Karmasis

2 Gündem  Log yönetimine farklı bir bakış  [5651 sayılı kanun]  Ürün tanıtımı

3 Manşet Haberler Log Yönetiminin Önemi

4 Eğlenceli Sorular... Üst yönetim tarafından sorulduğunu düşünmezsek...

5 Soru 1 – Kötü niyetli yöneticiler  Sistem yöneticilerinin yaptığı işlemleri takip edebiliyor musunuz?  Kullanıcı bilgisayarlarına yapılan C$ ve ADMIN$ erişimleri  Log temizleme işlemleri  Yeni kullanıcı yaratma/domain admin grubuna dahil etme/kullanıcı ile oturum açma/kullanıcıyı silme

6 Soru 2 – Kötü niyetli kullanıcılar  Kullanıcıların yaptığı işlemleri takip edebiliyor musunuz?  [GPO almamak için] network kablosunu söküp oturum açma  Paylaşıma açtıkları dizinler  Ekran görüntüsü kırpma (ScreenShots)  USB cihazlara kopyaladıkları dosyalar  Çalıştırdıkları uygulamalar  Yükledikleri uygulamalar

7 Soru 3 - Farkındalık  Ağda gerçekleşen olaylar hakkında neler biliyorsunuz?  ARP spoofing yapılıyor mu?  Sniffing yapılıyor mu?  En çok trafik yaratan kullanıcı bilgisayarları?  Önemli bir kullanıcı bilgisayarına bruteforce password atak yapılıyor mu?  Web sunucularınızda SQL injection izleri var mı?  DC’leriniz replikasyon yapıyor mu?

8 Soru 4 – Yazılım donanım envanteri  Kaçak Windows kullanılıyor mu?  Kaçak Office kullanılıyor mu?  Webcam/Scanner bağlı bilgisayarlar hangileri?  Local Administrators grubundaki kullanıcıların listesi?

9 Bu soruları yanıtlamak neden zor?

10 Sadece Datacenter log yönetiminin eksikleri  Sunucu, güvenlik duvarı, veritabanları ve aktif cihazlar üzerine odaklı  Cached credential ile logon olan bir kullanıcı DC üzerinde iz bırakır mı?  USB diskine dosya kopyalayan bir kullanıcının izi nerede tutulur?

11 Kullanıcılardan Log Toplamanın Önemi  İzlenmek istemeyen kullanıcılar  IP adresi değiştirmek  IM uygulamalarında şifreli trafik kullanmak  Remote Control uygulamaları  Log-Me-In, Hamachi, TeamViewer, Radmin, …  Password attack  Kullanıcı insan kaynakları (veya genel müdürün) bilgisayarının şifresini kırmak  Network trafiğini izleyen uygulamalar  Ethereal, WireShark, …  USB / DVDROM gibi cihazlarla gelen uygulamalar  Yazıcı ile alınan belgeler

12 DLP kullanıyoruz, AD var, AV var,... • Çalıştıklarından emin misiniz? • Makinasında admin hakkına sahip bir kullanıcının istediği servisi devre dışı bırakabilmesi için «rename» komutunu bilmesi yeterli

13 Infraskope Server 2012 for datacenter and clients Genişleyebilir ve Açık Mimari  Mevcut uygulamalarınıza bilgi aktarma  Standart ara birimler (Database, WebServices,...)  Sensorler sayesinde diğer log kaynaklarının toplanması (SysLog, CEF, DHCP, MSN, vs) Kurumsal Envanter  Yazılım ve Donanım  Lisans Uyumluluğu  İstenmeyen uygulamaların tesbiti ve bloklanması  Demirbaş takibi* Log Yönetimi, korelasyon, uyarılar...  Windows Event Log  SysLog, W3C Logs, Uygulama logları...  Kullanıcı tanımlı kurallar  Görsel alarmlar, SMS gönderme, e-posta, …  Parametrik alanların sorgulanabilmesi Kurumsal Ölçek  Merkezde tek konsol  Scale-up/scale out desteği  Rol tabanlı erişim  Rol tabanlı görüntüleme

14 Dashboard

15 Kullanıcının İzlenmesi Infraskope Agent  «Designed for Windows» logo  Düşük kaynak tüketimi (%0.04 – 8 saatlik ortalama CPU kullanımı, 7-10MB RAM)  USB cihazların ve USB’ye kopyalanan dosyaların takibi  Yazıcı çıktı takibi*  PrintScreen ve diğer uygulamalarla alınan görüntülerin takibi  Kablosuz ağlara yapılan bağlantılar  Kafe, havaalanı v.s.  3G modem bağlantılarının takibi  Sniffer uygulamalarının takibi  Uygulama yasaklama / raporlama  Dosya adına göre  MD5 hash’e göre  Sistem yöneticisi hesabı ile bile durdurulamama * Infraskope Print Audit ile

16 Infraskope Server  Fiziksel veya sanal makine desteği  Kalıcı ve EPS bağımsız lisanslama (2012 sürümü ile Kiralama modeli)  Şube sunucuları için ücretsiz «Staging Server»  2 soket (8 core) / 8 GB sunucu ile EPS veri işleme  Scale-Up / Scale-Out kurulum senaryoları  Cluster SQL Server desteği

17 Uyarı mekanizmaları  Uyarı Yöntemleri (Notification)  E-posta gönderme  Güvenlik yöneticisine/grubuna  Kullanıcının kendisine  Kullanıcının yöneticisine (Active Directory)  Pop-up (görsel) mesaj  SMS gönderme  Komut çalıştırma (Command Execution)  Tüm olaylarda dinamik (oluşan olay hakkında) parametre yollayabilme  «Kullanıcı yaratıldı»  «admin tarafından stajyer kullanıcısı oluşturuldu»  LDAPQUERY makrosu ile AD'den kullanıcı veya bilgisayar hakkında detaylı bilgi alma ve bu bilgiyi uyarı mesajı içinde gösterme

18 Korelasyon Kuralları  Kural Tipleri  Generic Rule  Tek bir olayın gerçekleşmesi  Missed Event Rule  Beklenen bir olayın gerçekleşmemesi  Multi-hit  Belirlenen sürede bir olayın N kere veya daha fazla oluşması  Yukarıdaki kuralların her türlü kombinasyonu

19 Korelasyon (Pattern) Kuralı Özellikleri  Activity Time Window  Hangi saat diliminde olayın oluşması bekleniyor  Total Time  İlgili sekansın gerçekleşmesi için maksimum süre  Suppression  Aynı olayın tekrar oluşması durumunda ne kadar "suppress" edilecek (silent alarm)

20 Pattern Editor (Kurallar)

21 Örnek Korelasyon Kuralı

22 Çok Seviyeli "Action"

23 Uyarı (Action) tipleri  Run script or application  İstenen bir uygulama veya scripti çalıştırma  Send  Eposta ile uyarı  Show notification  Görsel uyarı  Write To Eventlog  Eventlog'a farklı bir olay yazma  Planlanan diğer uyarılar  SNMP trap  Syslog  Play sound

24 Sınıflandırma (Classification)  Problem – Operatörlerin her türlü olayı görebilmeleri  İnsan kaynakları tarafından atılan e-postalar  Üst yöneticilerin ziyaret ettiği web siteleri  PrintScreen ile alınan görüntüler  Çözüm – Çok seviyeli sınıflandırma kuralları  IP adresi, bilgisayar adı, olay numarası, olay içinde geçen bilgi, v.s.'ye göre olayın sınıflandırılabilme desteği  "Olay içinde 'HR' geçiyorsa sadece 400 seviyesi operatörler olayı görüntüleyebilsin"  ReplacementString like '%HR%'  Level = 400

25 Log Kaynakları İşletim Sistemleri Windows XP/Vista/7/8 Windows Server 2000/2003/2008/2012 UNIX / LINUX Türevleri* NAS Cihazları (NETAPP) Uygulama Logları IAS (VPN), DHCPIIS 6/7 (W3C)Apache (via SysLog)... Network Cihazları SysLogSNMP... Firewall / Proxy ISA Server / WebSense / Juniper etc CISCO PIX / CheckPoint BlueCoat / SquidGeneric Web Sniffer* Exchange 2003Exchange 2007Exchange 2010 SendMail / Qmail ve benzer *NIX tabanlı sistemler IDS / IPS Proventia**SNORT (via SysLog)(Diğer) Database SQL ServerOracle * Ajanlı ve ajansız

26 Desteklenen Log Kaynakları Eventlog Windows Text file W3C formatları LOG, TXT, CSV Syslog Network cihazları Linux/UNIX SSH Linux/UNIX SFTP Linux/UNIXMainframe Database Custom apps ODBC OPSEC Checkpoint FW Win32 API Custom

27 Yazılım ve Donanım Envanteri  Kurumsal yazılım/donanım envanteri  WMI tarafından raporlanmayan bilgilerin kaydı  İşletim sistemi ve Office uygulamalarının kurulum anahtarı  Kullanıcı bilgisayarlarındaki grupların üyelerinin kontrolü  WebCam / Scanner tespiti  3G modem tespiti

28 Hiyerarşik Alarm Yönetimi  Active Directory ile entegre site yapılandırma  Oluşan olayların üst siteye de gönderilmesi olanağı  İstenmeyen zaman dilimlerinde hattı meşgul etmeme özelliği

29 Referanslarımızdan bazıları  Milli Eğitim Bakanlığı  3000 kullanıcı  Hedef: kullanıcı  Emniyet İstihbarat  4500 kullanıcı  Kamu İhale Kurumu, Kültür Bakanlığı, TOFAŞ, OPET, ASELSAN, Deniz Kuvvetleri, Gölcük Donanma Komutanlığı, Sheraton, GAMA Holding, Nurol Holding, EUAŞ, …  70+ Kurumsal müşteri

30 Teşekkürler! karmasis.com

31 Ek Slide'lar • Senaryolar • 5651 sayılı kanun

32 Senaryo #1  Kullanıcı DHCP ile aldığ IP adresini izinde olan müdürünün IP adresi ile değiştirdi    Kullanıcı adresini ziyaret etti  Başbakan hakkında bir habere “uygun olmayan” bir yorum yazdı  Kullanıcı IP adresini DHCP’ye geri ayarladı    Başbakanlık dava açtı  Gazete.com.tr gelen ip adresini “siz” olarak bildirdi  Savcılık sizden ilgili işlemi kimin yaptığını bildirmenizi istedi

33 Senaryo #2  Domain admin geçici bir kullanıcı oluşturdu  Yeni kullanıcı ile oturum açtı  Genel Müdür veya diğer üst düzey yöneticilerin makinasına erişti (C$)  İstediği bilgiyi aldı/değiştirdi/sildi  Oturum kapattı ve tekrar domain admin ile oturum açtı  Logları temizledi

34 Senaryo #3  Bir kullanıcı hakkında soruşturma yapılıyor  Kullanıcının geçtiğimiz ay içinde aşağıdaki işlemlerinin raporlanması istendi (savcı)  Hangi bilgisayarlardan oturum açtığı  USB diskine kopyaladığı dosyalar  Yazdırdığı dokümanlar  Attığı Epostalar  Girdiği web siteleri

35 5651 Sayılı Yasa ve Yönetmelikler 28 Temmuz 2008 tarihine kadar gerekli işlemlerin başlatılması gerekmektedir

36 5651 Senaryo  Kullanıcı DHCP ile aldığ IP adresini izinde olan müdürünün IP adresi ile değiştirdi    Kullanıcı adresini ziyaret etti  Başbakan hakkında bir habere “uygun olmayan” bir yorum yazdı  Kullanıcı IP adresini DHCP’ye geri ayarladı    Başbakanlık dava açtı  Gazete.com.tr gelen ip adresini “siz” olarak bildirdi  Savcılık sizden ilgili işlemi kimin yaptığını bildirmenizi istedi

37 5651 – Ne tür yasal problemler olabilir?  Kuruma ait veya kurum sorumluluğunda olan bir bilgisayardan  Çocuk pornosuna erişim  Devlet büyüklerine hakaret  Yıkıcı eylemler  Uyuşturucu, fuhuş, silah ile ilgili eylemler  Bir web sitesine saldırı  …

38 5651 ne yükümlülükler getiriyor?  DHCP olaylarının loglanması  Belirtilen IP adresi kime ait?  İlgili logların orjinallik ve değişmezlik garantisi*  Erişilen Internet sitelerinin loglanması  Belirtilen tarihte adresine kim ulaştı?

39 5651 Cezai Şartlar  Her olay için  Yönetim Kurulu + Sorumlu Yönetici  2 yıla kadar hapis*  50,000 YTL’ye kadar para cezası* * Aktör ve suç kapsamına göre değişebilir

40 5651 “Bizi” Kapsıyor mu?  EVET  1/11/2007 tarihli Yönetmeliğin tanımlar maddesine göre:  İnternet toplu kullanım sağlayıcı: Kişilere belli bir yerde ve belli bir süre internet ortamı kullanım olanağı sağlayan gerçek ve tüzel kişiler  Yer sağlayıcılar


"Infraskope Server 2012 Murat Eraydın Karmasis Murat Eraydın Karmasis." indir ppt

Benzer bir sunumlar


Google Reklamları