Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Murat Eraydın Karmasis

Benzer bir sunumlar


... konulu sunumlar: "Murat Eraydın Karmasis"— Sunum transkripti:

1 Murat Eraydın Karmasis
Infraskope Server 2012 Murat Eraydın Karmasis

2 Gündem Log yönetimine farklı bir bakış [5651 sayılı kanun]
Ürün tanıtımı

3 Manşet Haberler Log Yönetiminin Önemi

4 Üst yönetim tarafından sorulduğunu düşünmezsek...
Eğlenceli Sorular... Üst yönetim tarafından sorulduğunu düşünmezsek...

5 Soru 1 – Kötü niyetli yöneticiler
Sistem yöneticilerinin yaptığı işlemleri takip edebiliyor musunuz? Kullanıcı bilgisayarlarına yapılan C$ ve ADMIN$ erişimleri Log temizleme işlemleri Yeni kullanıcı yaratma/domain admin grubuna dahil etme/kullanıcı ile oturum açma/kullanıcıyı silme

6 Soru 2 – Kötü niyetli kullanıcılar
Kullanıcıların yaptığı işlemleri takip edebiliyor musunuz? [GPO almamak için] network kablosunu söküp oturum açma Paylaşıma açtıkları dizinler Ekran görüntüsü kırpma (ScreenShots) USB cihazlara kopyaladıkları dosyalar Çalıştırdıkları uygulamalar Yükledikleri uygulamalar

7 Soru 3 - Farkındalık Ağda gerçekleşen olaylar hakkında neler biliyorsunuz? ARP spoofing yapılıyor mu? Sniffing yapılıyor mu? En çok trafik yaratan kullanıcı bilgisayarları? Önemli bir kullanıcı bilgisayarına bruteforce password atak yapılıyor mu? Web sunucularınızda SQL injection izleri var mı? DC’leriniz replikasyon yapıyor mu?

8 Soru 4 – Yazılım donanım envanteri
Kaçak Windows kullanılıyor mu? Kaçak Office kullanılıyor mu? Webcam/Scanner bağlı bilgisayarlar hangileri? Local Administrators grubundaki kullanıcıların listesi?

9 Bu soruları yanıtlamak neden zor?

10 Sadece Datacenter log yönetiminin eksikleri
Sunucu, güvenlik duvarı, veritabanları ve aktif cihazlar üzerine odaklı Cached credential ile logon olan bir kullanıcı DC üzerinde iz bırakır mı? USB diskine dosya kopyalayan bir kullanıcının izi nerede tutulur?

11 Kullanıcılardan Log Toplamanın Önemi
İzlenmek istemeyen kullanıcılar IP adresi değiştirmek IM uygulamalarında şifreli trafik kullanmak Remote Control uygulamaları Log-Me-In, Hamachi, TeamViewer, Radmin, … Password attack Kullanıcı insan kaynakları (veya genel müdürün) bilgisayarının şifresini kırmak Network trafiğini izleyen uygulamalar Ethereal, WireShark, … USB / DVDROM gibi cihazlarla gelen uygulamalar Yazıcı ile alınan belgeler

12 DLP kullanıyoruz, AD var, AV var, ...
Çalıştıklarından emin misiniz? Makinasında admin hakkına sahip bir kullanıcının istediği servisi devre dışı bırakabilmesi için «rename» komutunu bilmesi yeterli

13 Infraskope Server 2012 for datacenter and clients
Log Yönetimi, korelasyon, uyarılar ... Windows Event Log SysLog, W3C Logs, Uygulama logları... Kullanıcı tanımlı kurallar Görsel alarmlar, SMS gönderme, e-posta, … Parametrik alanların sorgulanabilmesi Kurumsal Ölçek Merkezde tek konsol Scale-up/scale out desteği Rol tabanlı erişim Rol tabanlı görüntüleme Kurumsal Envanter Yazılım ve Donanım Lisans Uyumluluğu İstenmeyen uygulamaların tesbiti ve bloklanması Demirbaş takibi* Genişleyebilir ve Açık Mimari Mevcut uygulamalarınıza bilgi aktarma Standart ara birimler (Database, WebServices, ...) Sensorler sayesinde diğer log kaynaklarının toplanması (SysLog, CEF, DHCP, MSN, vs)

14 Dashboard

15 Kullanıcının İzlenmesi Infraskope Agent
«Designed for Windows» logo Düşük kaynak tüketimi (%0.04 – 8 saatlik ortalama CPU kullanımı, 7-10MB RAM) USB cihazların ve USB’ye kopyalanan dosyaların takibi Yazıcı çıktı takibi* PrintScreen ve diğer uygulamalarla alınan görüntülerin takibi Kablosuz ağlara yapılan bağlantılar Kafe, havaalanı v.s. 3G modem bağlantılarının takibi Sniffer uygulamalarının takibi Uygulama yasaklama / raporlama Dosya adına göre MD5 hash’e göre Sistem yöneticisi hesabı ile bile durdurulamama * Infraskope Print Audit ile

16 Infraskope Server Fiziksel veya sanal makine desteği
Kalıcı ve EPS bağımsız lisanslama (2012 sürümü ile Kiralama modeli) Şube sunucuları için ücretsiz «Staging Server» 2 soket (8 core) / 8 GB sunucu ile EPS veri işleme Scale-Up / Scale-Out kurulum senaryoları Cluster SQL Server desteği

17 Uyarı mekanizmaları Uyarı Yöntemleri (Notification) E-posta gönderme Güvenlik yöneticisine/grubuna Kullanıcının kendisine Kullanıcının yöneticisine (Active Directory) Pop-up (görsel) mesaj SMS gönderme Komut çalıştırma (Command Execution) Tüm olaylarda dinamik (oluşan olay hakkında) parametre yollayabilme «Kullanıcı yaratıldı»  «admin tarafından stajyer kullanıcısı oluşturuldu» LDAPQUERY makrosu ile AD'den kullanıcı veya bilgisayar hakkında detaylı bilgi alma ve bu bilgiyi uyarı mesajı içinde gösterme

18 Korelasyon Kuralları Kural Tipleri
Generic Rule Tek bir olayın gerçekleşmesi Missed Event Rule Beklenen bir olayın gerçekleşmemesi Multi-hit Belirlenen sürede bir olayın N kere veya daha fazla oluşması Yukarıdaki kuralların her türlü kombinasyonu

19 Korelasyon (Pattern) Kuralı Özellikleri
Activity Time Window Hangi saat diliminde olayın oluşması bekleniyor Total Time İlgili sekansın gerçekleşmesi için maksimum süre Suppression Aynı olayın tekrar oluşması durumunda ne kadar "suppress" edilecek (silent alarm)

20 Pattern Editor (Kurallar)

21 Örnek Korelasyon Kuralı

22 Çok Seviyeli "Action"

23 Uyarı (Action) tipleri
Run script or application İstenen bir uygulama veya scripti çalıştırma Send Eposta ile uyarı Show notification Görsel uyarı Write To Eventlog Eventlog'a farklı bir olay yazma Planlanan diğer uyarılar SNMP trap Syslog Play sound

24 Sınıflandırma (Classification)
Problem – Operatörlerin her türlü olayı görebilmeleri İnsan kaynakları tarafından atılan e-postalar Üst yöneticilerin ziyaret ettiği web siteleri PrintScreen ile alınan görüntüler Çözüm – Çok seviyeli sınıflandırma kuralları IP adresi, bilgisayar adı, olay numarası, olay içinde geçen bilgi, v.s.'ye göre olayın sınıflandırılabilme desteği "Olay içinde 'HR' geçiyorsa sadece 400 seviyesi operatörler olayı görüntüleyebilsin" ReplacementString like '%HR%' Level = 400

25 Log Kaynakları İşletim Sistemleri Uygulama Logları Network Cihazları
Windows XP/Vista/7/8 Windows Server 2000/2003/2008/2012 UNIX / LINUX Türevleri* NAS Cihazları (NETAPP) Uygulama Logları IAS (VPN), DHCP IIS 6/7 (W3C) Apache (via SysLog) ... Network Cihazları SysLog SNMP Firewall / Proxy ISA Server / WebSense / Juniper etc CISCO PIX / CheckPoint BlueCoat / Squid Generic Web Sniffer* Exchange 2003 Exchange 2007 Exchange 2010 SendMail / Qmail ve benzer *NIX tabanlı sistemler IDS / IPS Proventia** SNORT (via SysLog) (Diğer) Database SQL Server Oracle * Ajanlı ve ajansız

26 Desteklenen Log Kaynakları
Eventlog Windows Text file W3C formatları LOG, TXT, CSV Syslog Network cihazları Linux/UNIX SSH SFTP Mainframe Database Custom apps ODBC OPSEC Checkpoint FW Win32 API Custom

27 Yazılım ve Donanım Envanteri
Kurumsal yazılım/donanım envanteri WMI tarafından raporlanmayan bilgilerin kaydı İşletim sistemi ve Office uygulamalarının kurulum anahtarı Kullanıcı bilgisayarlarındaki grupların üyelerinin kontrolü WebCam / Scanner tespiti 3G modem tespiti

28 Hiyerarşik Alarm Yönetimi
Active Directory ile entegre site yapılandırma Oluşan olayların üst siteye de gönderilmesi olanağı İstenmeyen zaman dilimlerinde hattı meşgul etmeme özelliği

29 Referanslarımızdan bazıları
Milli Eğitim Bakanlığı 3000 kullanıcı Hedef: kullanıcı Emniyet İstihbarat 4500 kullanıcı Kamu İhale Kurumu, Kültür Bakanlığı, TOFAŞ, OPET, ASELSAN, Deniz Kuvvetleri, Gölcük Donanma Komutanlığı, Sheraton, GAMA Holding, Nurol Holding, EUAŞ, … 70+ Kurumsal müşteri

30 murat.eraydin @ karmasis.com
Teşekkürler! karmasis.com

31 Senaryolar 5651 sayılı kanun
Ek Slide'lar Senaryolar 5651 sayılı kanun

32 Senaryo #1 Kullanıcı DHCP ile aldığ IP adresini izinde olan müdürünün IP adresi ile değiştirdi Kullanıcı adresini ziyaret etti Başbakan hakkında bir habere “uygun olmayan” bir yorum yazdı Kullanıcı IP adresini DHCP’ye geri ayarladı Başbakanlık dava açtı Gazete.com.tr gelen ip adresini “siz” olarak bildirdi Savcılık sizden ilgili işlemi kimin yaptığını bildirmenizi istedi

33 Senaryo #2 Domain admin geçici bir kullanıcı oluşturdu
Yeni kullanıcı ile oturum açtı Genel Müdür veya diğer üst düzey yöneticilerin makinasına erişti (C$) İstediği bilgiyi aldı/değiştirdi/sildi Oturum kapattı ve tekrar domain admin ile oturum açtı Logları temizledi

34 Senaryo #3 Bir kullanıcı hakkında soruşturma yapılıyor
Kullanıcının geçtiğimiz ay içinde aşağıdaki işlemlerinin raporlanması istendi (savcı) Hangi bilgisayarlardan oturum açtığı USB diskine kopyaladığı dosyalar Yazdırdığı dokümanlar Attığı Epostalar Girdiği web siteleri

35 5651 Sayılı Yasa ve Yönetmelikler
28 Temmuz 2008 tarihine kadar gerekli işlemlerin başlatılması gerekmektedir

36 5651 Senaryo Kullanıcı DHCP ile aldığ IP adresini izinde olan müdürünün IP adresi ile değiştirdi Kullanıcı adresini ziyaret etti Başbakan hakkında bir habere “uygun olmayan” bir yorum yazdı Kullanıcı IP adresini DHCP’ye geri ayarladı Başbakanlık dava açtı Gazete.com.tr gelen ip adresini “siz” olarak bildirdi Savcılık sizden ilgili işlemi kimin yaptığını bildirmenizi istedi

37 5651 – Ne tür yasal problemler olabilir?
Kuruma ait veya kurum sorumluluğunda olan bir bilgisayardan Çocuk pornosuna erişim Devlet büyüklerine hakaret Yıkıcı eylemler Uyuşturucu, fuhuş, silah ile ilgili eylemler Bir web sitesine saldırı

38 5651 ne yükümlülükler getiriyor?
DHCP olaylarının loglanması Belirtilen IP adresi kime ait? İlgili logların orjinallik ve değişmezlik garantisi* Erişilen Internet sitelerinin loglanması Belirtilen tarihte adresine kim ulaştı?

39 5651 Cezai Şartlar Her olay için Yönetim Kurulu + Sorumlu Yönetici
2 yıla kadar hapis* 50,000 YTL’ye kadar para cezası* * Aktör ve suç kapsamına göre değişebilir

40 5651 “Bizi” Kapsıyor mu? EVET
1/11/2007 tarihli Yönetmeliğin tanımlar maddesine göre: İnternet toplu kullanım sağlayıcı: Kişilere belli bir yerde ve belli bir süre internet ortamı kullanım olanağı sağlayan gerçek ve tüzel kişiler Yer sağlayıcılar


"Murat Eraydın Karmasis" indir ppt

Benzer bir sunumlar


Google Reklamları