Infraskope Server 2008 R2 Tanıtım

Infraskope Server
Murat Eraydın
Karmasis
Manşet Haberler
Log Yönetiminin Önemi
5651 Sayılı Yasa ve Yönetmelikler
Senaryo #1

Kullanıcı DHCP ile aldığ IP adresini izinde olan müdürünün
IP adresi ile değiştirdi




Kullanıcı www.gazete.com.tr adresini ziyaret etti
Başbakan hakkında bir habere “uygun olmayan” bir yorum
yazdı
Kullanıcı IP adresini DHCP’ye geri ayarladı


10.0.1.241  10.0.1.30
10.0.1.30  10.0.1.241
Başbakanlık dava açtı


Gazete.com.tr gelen ip adresini “siz” olarak bildirdi
Savcılık sizden ilgili işlemi kimin yaptığını bildirmenizi istedi
Senaryo #2
Domain admin geçici bir kullanıcı oluşturdu
 Yeni kullanıcı ile oturum açtı
 Genel Müdür veya diğer üst düzey
yöneticilerin makinasına erişti (C$)
 İstediği bilgiyi aldı/değiştirdi/sildi
 Oturum kapattı ve tekrar domain admin ile
oturum açtı
 Logları temizledi

Senaryo #3
Bir kullanıcı hakkında soruşturma yapılıyor
 Kullanıcının geçtiğimiz ay içinde aşağıdaki
işlemlerinin raporlanması istendi (savcı)

 Hangi
bilgisayarlardan oturum açtığı
 USB diskine kopyaladığı dosyalar
 Yazdırdığı dokümanlar
 Attığı Epostalar
 Girdiği web siteleri
Bir bakışta Infraskope
Gerçek zamanlı alarmlar ve saklama





Windows Event Log
SysLog, W3C Logs, Uygulama logları...
Kullanıcı tanımlı kurallar
Görsel alarmlar, SMS gönderme, e-posta, …
Parametrik alanların sorgulanabilmesi
Kurumsal Envanter
Kurumsal Yönetim




Merkezde tek konsol
Uzaktan yükleme/silme
Kullanıcı / Yönetici tarafından
durdurulamama
Birçok uzak yönetim
fonksiyonu




Yazılım ve Donanım
Lisans Uyumluluğu
Yasak uygulamaların tesbiti
Demirbaş takibi*
Genişleyebilir ve Açık Mimari



Mevcut uygulamalarınıza bilgi aktarma
Standart ara birimler (Database, WebServices, ...)
Sensorler sayesinde diğer log kaynaklarının toplanması
(SysLog, CEF, DHCP, MSN, vs)
Log Kaynakları
İşletim
Sistemleri
Uygulama
Logları
Windows
2000/XP/Vista
IAS (VPN), DHCP
SysLog
ISA Server /
WebSense /
Juniper etc
Exchange 2003
Proventia**
SQL Server
Windows Server
2000/2003/2008
IIS 6/7 (W3C)
SNMP
CISCO PIX /
CheckPoint
Exchange 2007
SNORT (via
SysLog)
Oracle
UNIX / LINUX
Türevleri*
Apache (via
SysLog)
Labris / i-Bekçi
Exchange 2010
(Custom)
BlueCoat /
Squid
SendMail /
Qmail ve benzer
*NIX tabanlı
sistemler
NAS Cihazları
(NETAPP)
Network
Cihazları
Firewall /
Proxy
Generic Web
Sniffer*
* Ajanlı ve ajansız
E-Mail
IDS / IPS
Database
Kullanıcılardan Log Toplamanın Önemi

İzlenmek istemeyen kullanıcılar
IP adresi değiştirmek
 IM uygulamalarında şifreli trafik kullanmak


Remote Control uygulamaları


Password attack



Kullanıcı insan kaynakları (veya genel müdürün) bilgisayarının
şifresini kırmaya çalışıyor
Network trafiğini izleyen uygulamalar


Log-Me-In, Hamachi, TeamViewer, Radmin, …
Ethereal, WireShark, …
USB / DVDROM gibi cihazlarla gelen uygulamalar
Yazıcı ile alınan belgeler
Kullanıcının İzlenmesi
Infraskope Agent


Kural tabanlı merkezi log toplama
Sadece Windows tarafından loglananları değil!
 USB cihazların ve USB’ye kopyalanan
dosyaların takibi
 Yazıcı çıktı takibi*
 PrintScreen ve diğer uygulamalarla alınan
görüntülerin takibi
 Kablosuz ağlara yapılan bağlantılar


3G modem bağlantılarının takibi
Sniffer uygulamalarının takibi

Uygulama yasaklama / raporlama




Kafe, havaalanı v.s.
Dosya adına göre
MD5 hash’e göre
Sistem yöneticisi hesabı ile bile
durdurulamama
* Infraskope Print Audit ile
Infraskope Server






Fiziksel veya sanal makine desteği
Kalıcı ve EPS bağımsız lisanslama
Şube sunucuları için ücretsiz
«Staging Server»
2 soket (8 core) / 8 GB sunucu ile
15000+ EPS veri işleme
Scale-Up / Scale-Out kurulum
senaryoları
Cluster SQL Server desteği
Infraskope Server
Alarm Yönetimi

Haber verme hizmetleri (Notification)

E-posta gönderme







Güvenlik yöneticisine/grubuna
Kullanıcının kendisine
Kullanıcının müdürüne
Pop-up (görsel) mesaj
SMS gönderme
Komut çalıştırma (Command Execution)
Tüm olaylarda dinamik (oluşan olay hakkında)
parametre yollayabilme
 «Kullanıcı
yaratıldı»  «admin tarafından stajyer
kullanıcısı oluşturuldu»
Korelasyon Modülü (2011 Q4)


Farklı olayların ilişkilendirilmesi
Sekans tespiti


Event X  Event Y in 5 min  Event Z  missing(Event W)
Eksik olayların tespiti

Her t sürede olması gereken bir olayın gerçekleşmemesi
Infraskope – Dashboard
Uygulama Yönetimi
Websense’in desktop karşılığı
 2 dakika içinde etkinleştirme
 Merkezi olarak belirlenen uygulamaların
raporlanması ve durdurulması

 MSN,
GoogleTalk, YahooMessenger, vs
 Remote Control programları
 Encryption yazılımları
 Tunneling yazılımları
Device Control


Bir veya daha fazla bilgisayar için depolama
aygıtlarının kontrol edilmesi
Kurum dışına çıkartılan bilgisayarların kapatılması
desteği
Yazılım ve Donanım Envanteri


Kurumsal yazılım/donanım envanteri
WMI tarafından raporlanmayan bilgilerin kaydı




İşletim sistemi ve Office uygulamalarının kurulum anahtarı
Kullanıcı bilgisayarlarındaki grupların üyelerinin kontrolü
WebCam / Scanner tespiti
3G modem tespiti
Hiyerarşik Alarm Yönetimi



Active Directory ile entegre site yapılandırma
Oluşan olayların üst siteye de gönderilmesi olanağı
İstenmeyen zaman dilimlerinde hattı meşgul
etmeme özelliği
Referanslarımızdan bazıları

Milli Eğitim Bakanlığı
 3000
kullanıcı
 Hedef: 17000 kullanıcı

Emniyet İstihbarat
 4500


kullanıcı
KİK, Kültür Bakanlığı, TOFAŞ, OPET, ASELSAN,
Deniz Kuvvetleri, Gölcük Donanma, Sheraton,
GAMA Holding, Nurol Holding, EUAŞ, …
70+ Kurumsal müşteri
Teşekkürler!
murat.eraydin @ karmasis.com
Teknik İnceleme
•Infraskope
Server
•Infrskope WebService
•Infraskope Agents
•Infraskope Sensors
•Infraskope Reports
Genel Yapı
Agent


800KB MSI paketi (Group Policy veya diğer yöntemlerle dağıtım)
Düşük bellek kullanımı
2000,XP,Vista) ortalama 700 KB
 2003 / 2008 Server 15-30 MB





Ağ problemi veya FrontEnd ile bağlantıya geçememe durumunda oluşan olaylar
yerel olarak biriktirilir ve bağlantı gerçekleştiğinde yollar
Merkezi kurallara göre envanter yollama
Kritik sistem bileşenlerindeki değişikliklerin raporlanması (CPU, RAM, Disk,
DVD, vs)
Merkezi olarak belirlenen kurallara göre






Windows eventlog’a yazılan olayları gerçek zamanlı olarak yakalamak
USB kullanımını tesbit etmek
Network kartında meydana gelen değişiklikleri tesbit etmek (IP, MAC adresi,
gateway, DNS)
Bilgisayar adı değişikliklerini takip etmek
Sniffer kullanımını tesbit etmek
Karaliste uygulamalarını tesbit etmek ve/veya durdurmak/çalıştırmak
Event Repository

Microsoft SQL Server 2005 / 2008
HA fonksiyonları (mirroring, clustering, vs)
 Şifreli saklama seçenekleri


Hot Database (AuditDB)
Genellikle 1-2 haftalık (değiştirilebilir) olayları içinde barındırır
 Belirlenen süreden sonraki olaylar AuditReportDB’ye otomatik olarak
aktarılır


Report Database (AuditReportDB)
AuditDB’nin kopyası
 Geriye dönük sorgulamadan TempDB olarak kullanılabilmektedir.
 Raporlama performansı açısından ayrı bir filegroup yapılabilir


Longterm Archive to File system

Günlük log kayıtları import edilebilecek şekilde tanımlanan dizin altında
sıkıştırılarak ve imzalanarak saklanır.
Infraskope Frontend

Infraskope bileşenleri (Agent, Server, Console)
tarafından kullanılan orta katman
 .NET
Framework 2.0 ile geliştirildi
 SOAP / XML WebService arayüzü sayesinde diğer
uygulamalardan erişim olanağı
 NLB ile yatay büyüme olanağı
 Basit Firewall yapılandırması (TCP 80/443)
 Kesintisiz çalışma için MSMQ kullanımı

Gelen olaylar MSMQ’ya gönderilir, böylece olay kaybı yaşanmaz
Infraskope Server


FrontEnd tarafından MSMQ’ya yazılan olayları veritabanına
aktarır
Alarm kurallarına göre uyarıları oluşturur
Visual (Console)
 E-mail
 Run application
 SMS*



Agent’ların son bağlantı zamanını kaydeder (online-offline
kararı için)
Console’da bir alarm kuralı değiştirilirse servisi tekrar
başlatma gereği yoktur
Infraskope Management Console




Tüm yapılandırma IMC ile yapılır
Gerçek zamanlı dashboard, olay ve alarmlar
Geçmiş tarihli olayların araştırılması
Toplama kuralları (Agent’lar kullanır)


Alarm kuralları (Server tarafından kullanılır)


Bir event geldiğinde uyarı verilmesi
Uygulama (Karaliste) kuralları


Agent’lar tarafından hangi kuralların FE’lere gönderileceği /
gönderilmeyeceği
Acil durumlarda agent’lar tarafından ilgili uygulamaların
durdurulması/çalıştırılması sağlanır
Policy kuralları

Registry veya dosya sisteminde olması/olmaması gereken nesneler
Sensör’ler

Özel log kaynaklarını yakalamak için geliştirilen Windows Service
uygulamalarıdır.













SysLog sensor (Unix/Linux/Network Devices)
DHCP Sensor (Windows Server 200x)
Rouge DHCP Sensor (Tüm DHCP cihazları/sunucuları)
Wireless Access Point Sensor
NetApp Sensor
Internet Information Services (IIS) Sensor
Web Listener (Infraskope Web Listener)
Websense Sensor
ISA Log Sensor
MSN Sensor
MS Exchange 2003/2007 logger
SMTP MailLogger
:
Ekran Görüntüleri
Infraskope Management
Console
Dashboard – Büyük Resmi Görmek
Realtime Dashboard – Büyük Resmi Görmek
Kullanıcı kodu paylaşımı
Realtime Alerts
Realtime Events
Toplama Kuralları
Alarm Kuralları
Alarm Kuralı
Session Tracker
Event Repository
Security/528 için örnek ekranlar
Security/528 Template


Her event içinde alanlar
parse edilmiştir.
%1..%15 olarak görülen
alanlar kurallarda
kullanılabilir
(param1..Param15)

Örnek alarm kuralı:
EventID=528 and
Source=‘Security’ and
Param4=7 or Param4=10

Her event için param sayısı
farklı olabilir
Security/528 Knowledge Base
Raporlar







SQL Server 2008 Reporting Services
Adli (forensics)raporlar
Yönetim raporları (trend analysis, summary reports)
Uyumluluk raporları (27001, SOX, HIPAA, vs)
SQL ReportBuilder ile anında rapor tanımlama
Tanımlı sürelerde otomatik rapor üretimi
Değişik yayınlama yöntemleri
Web portal
 E-posta
 File Share


Esnek dosya formatlarına aktarma
HTML
 PDF
 Excel
 …

Rapor Ekranı (Web Arayüzü de kullanılabilir)
Diğer Log Kaynaklarının Toplanması

Infraskope ile toplanabilen kaynaklar











Syslog (unix/linux, ağ vegüvenlik cihazları, vs)
Rogue DHCP sunucuların tesbiti
DHCP logları
MSN File Transfer logları
ISA Server logları
Websense logları
WebListener (Infraskope URL Logger)
Labris logları
Checkpoint logları
Yetkisiz Wireless Access Point logları
Metin tabanlı (text based log) log toplama (*)




Firewall
IDS/IPS
Non-Microsoft mail servers
vs
Database Activity
 File System Audit (Delete / Rename / Create)

Windows Security Auditing Eğitimi

Detaylı Windows Security Log analiz eğitimi
 Log
ve denetim (auditing) arasındaki farklar
 Logon / Logoff olayları
 Authentication (NTLM/Kerberos) olayları
 Çalıştırılan uygulamaların takibi
 Kullanıcı yönetimi olaylarının takibi
 Active Directory Group Policy olaylarının takibi
 Sistem olaylarının takibi
 Kullanabileceğiniz araç ve scriptler
 ISO 17799/27001 için kontrol edilmesi gereken alanlar

Uyumlu olmak için gerekli raporlar
Eğitimde işlenecek konular

Windows Güvenlik Denetimi
(Security Auditing)








Denetleme (Auditing) ve Log arasındaki farklar
Denetleme Politikalarının Ayarlanması
Hangi Kategoriler İzlenmeli?
Olay Günlükleri (EventLog) Yapısı
Olay Günlüğü İzleme Araçları (Event Viewer, Script,
diğer ürünler)
Olay Günlüğü Kaynakları(Event Source)
Kayıt (Log) Dosya Büyüklüğü
Kayıt Tutma (Logging) Seçenekleri

Logon ve Kimlik Doğrulama Olayları

Logon Tipleri





DOMAIN LOGON
LOCAL LOGON
Domain Kimlik Doğrulama
Başarısız Logon Olayları
Downgrade Attack nedir?

NTLM Kimlik Doğrulama İşlemi






Yerel Kimlik Doğrulama
Kullanıcı Aktivitesinin Gözetlenmesi
Nesne Erişim Olayları (Object Access)
İşlemlerin takibi (Process Tracking)
Hesap Yönetimi ve Sistem Yöneticilerinin
yaptığı kullanıcı işlemlerin izlenmesi

Kullanıcı ve Grup Olayları
Kullanıcı Yaratma
Kullanıcı Silme
Grup İşlemleri (Yaratma / Silme / Değişiklik)

Bilgisayarı Etki Alanına Dahil Etme (Domain Join)




Active Directory Service Erişim Denetimi

Group Policy Nesnelerinin Denetimi
Organizational Unit işlemlerinin denetimi

Audit Ayarlarının Yapılması


Yapılan Auditing ayarının test edilmesi



NTLM Hata Kodları
Group Policy Nesneleri Üzerinde Yapılan İşlemlerin Denetimi
Kullanıcı Hakları (Privilege Use) Denetimi
Sistem Aktivitesinin Denetimi
Teşekkürler!
murat.eraydin @ karmasis.com