Suresec - Anet Yazılım

2014
ANET
Suresec
SURESEC: Entegre Güvenlik ve Ağ Yönetimi Sistemi
SIEM
Korelasyon
Suresec bütünleşik bir güvenlik ve ağ yönetim sistemidir.
Ağ Yönetimi
Performans Yönetimi
Uygulama Yönetimi
Log Analizi
Dijital İmza
Değişmezlik Garantisi
Ajansız Yönetim
Güvenlik Yönetimi ile Ağ yönetimi özelliklerinin bir arada bulunmasının temel
avantajları:



Tek bir ürünle hem güvenlik hem de ağ yönetimini yapılabilir
Yönetim karmaşıklığı giderilir
Entegre Raporlar Alınabilir
o Örnek: X sunucusuna RDP ile login olmayı deneyen Y IP sine
sahip kullanıcı başarısız olunduğu zaman dilimi içerisinde X sunucusunda
çalışan servisler ve uygulamalar, X sunucusunun CPU, RAM durumu bilgilerini
içeren rapor oluşturabilirsiniz
 Entegre korelasyon kuralları yazılabilir
 Trend Analizi için güvenlik ve performans verileri birlikte
değerlendirilebilir
 Ortak bir yönetim ortamı eğitim ihtiyacını azaltır
 Tek tip ilke uygulamalarını mümkün kılar ve mevcut yazılımlarınızdan,
çalışanlarınızdan ve en önemlisi mevcut BT yönetim süreçlerinizden
yararlanmanıza imkân sağlayarak bakım işlerini kolaylaştırır.
Suresec ile
 Şirket Bilgileriniz Dışarıya sızdırılıyor mu? Kimler bu işlemleri yapıyor ya da
teşebbüste bulunuyor?
 Mesai saatleri dışında kimler kritik sunuculara LogOn oldu? Kim LogOn Olmaya Çalıştı
ve Başarısız oldu?
 Kimler ihale,muhasebe,Sözleşme,.. vs gibi kritik dokümanlara ulaştı?
 Sisteme erişen kullanıcı olay kayıtlarını sildi.(Kim ne zaman Sildi?)
 Saldırgan hangi sistemlere erişim yaptı?
 Saldırgan nereden sisteme erişti?
 Sadece belirli bir kullanıcı grubu tarafında bilinen bir bölgeye erişilmeye çalışıldı. Kim
erişmeye çalıştı?
 Kimler hatalı trafik oluşturarak networku kilitliyor?
 En çok indirme (download) yapan Kullanıcılar, Makineler Kimler?
 Şirket hesabına gelen maillerin kopyasını şahsi hesabına gönderenler var mı? Varsa
kim?
SYSLOG
WMI
SNMP
SNMP TRAP
Telnet
SSH
VMWARE API
HTTP
PING
TCP
UDP
SMTP
 Network üzerinde kaç tane başarısız oturum açma girişimi meydana geldi? Kimler
bu işlemleri gerçekleştirdi?
 Network üzerinde hangi hesaplar silindi ya da pasif oldu? Bu işlemleri kim ne
zaman gerçekleştirdi?
 En çok girilen siteler hangileri?
 Ağ yeni bir cihaz dahil oldu mu?
 Bu IP adresinin o anda kullandığı kullanıcı kim?
 Network üzerinde hangi hesaplar oluşturuldu? Kim bu hesapları oluşturdu? Ne
zaman bu işlem gerçekleşti?
 Network üzerinde işlemler kaç adet kritik olay oluşturdu? Bu kritik olaylara kimler
neden oldu?
 Network üzerinde kaç adet hata olayı meydana geldi? Bu hata olaylarına neden
olanlar kim?
 Taşınabilir bellek kullananlar kimler?
 Kim hangi uygulamayı çalıştırdı?
 Kim hangi uygulamayı kapattı?
 Kim belirli dokümanı sildi?
 Kim SQL portundan sisteme erişim yaptı?
 En çok hangi makine CPU,bellek ve disk kullanıyor?

HTTP, SMTP,IMAP, FTP, DNS, LDAP, HTTPS gibi servisler ayakta mı?

Dell Power Edge, Compaq Proliant, HP-UX ve IBM AIX sunucularda kritik
parametrelerinde önemli değişimler var mı?

VMware ESX sunucuları ayakta mı?

Windows servislerini ayakta mı?

Servis cevap süresi düşüşleri oluyor mu?

Sunucuların sabit disk boş alan ları hangi hızla doluyor?
POP3
JDBC
FTP
TEXT
IMAP
 Bir Sunucunun CPU, Hafıza, Proses vb grafiklerini
 Bir anahtarlama cihazının üzerindeki portların oluşturduğu ağ trafiğini oluşturup
izleyebilirsiniz (hem fiziksel port hem de vlan bazında)
 Hangi aktif ağ cihazı çalışıyor hangisi çalışmıyor anlık olarak listeleyebilirsiniz.
 Active Directory performansı istediğim gibi mi?
 MS-Exchange: Bağlantı istatistikleri, mesaj istatistikleri,

MS-SQL: Cache Hit Oranı, IO Page Reads,Active Locks,Transaction Log alanı ve
diğer önemli parametreleri izleyebilme.
 Oracle: Table space allocated, Data file Disk writes, Cache Invalidations, Table
scan Blocks, Number of User commits gibi parametreleri izleyebilme
 Gerçek zamanlı performans grafikleri
 Active Directory, Exchange & MS-SQL, Interface trafiği, kullanımı ve hata
Kolay Kullanım
WEB Arayüzü
Çok Kullanıcı Desteği
AD Entegrasyonu
Ajansız Log Toplama
Ajansız Ağ Yönetimi
istatistikleri için özelleştirilebilen ve istenen yerleşimlerde düzenlenebilen arayüz
görünümler
 CPU,bellek ve disk kullanımı istatistikleri
 Erişilebilirlik ve yanıt süresi istatistikleri
 Sunucular ve network cihazları için SLA raporları
 Günlük,haftalık,aylık veya istenilen zaman aralıklarında raporlandırabilme.
 Proaktif bir şekilde, eşik değerler tanımlayarak performans değerlerini
izleyebilme
 Raporları HTML,PDF,CSV formatlarında alabilme
 Raporları istenilen zaman aralıklarında IT yöneticilerine e-mail olarak
gönderebilme
gibi raporları alır veya otomatik uyarılar ürettirebilirsiniz. Suresec 400 e yakın hazır
rapor şablonu ile gelmektedir.
KORELASYON
Dünyada ticari ürün olarak
 Şablon Temelli Korelasyon Kuralları
 Sihirbaz Temelli (Wizard) Korelasyon Kuralı Oluşturma
 Script veya JAVA dili kullanarak Korelasyon Kuralı Oluşturma -Uzman
Modu (Expert Mode)
Seçeneklerini birlikte destekleyen tek üründür. Bu özellikleri kullanarak aşağıdaki gibi
kurallar oluşturulabilir:
 Windows makinelere brute force login ataklarını tespit etmek
 Veri tabanına varsayılan kullanıcı isimleri ile giriş denemelerin tespiti.
 445 nolu port ataklarını tespit etmek
 Saniyede 15 tane paketin drop edildiği IP yi bildir.
 İşe gelmeyen kullanıcının hesabı ile işlem yapıldıysa uyar
 Saniyede 1000 den fazla paket üretilen ve kaynağı ÇİN gözüken ve şirket ip
adreslerinin aynı portuna ulaşmak isteyen olursa uyar
 Saniyede 5 den fazla aynı makineye login olmayı deneyip de başarısız olan
IP yi bildir
 1 dakika içerisinde aynı kaynaktan 15 den fazla deny/reject/drop olursa uyar
 Seçilen zaman aralığında kimler çevrimiçiydi?
 Seçilen zaman aralığında network üzerinde kaç tane başarısız oturum açma
girişimi meydana geldi?
 Seçilen zaman aralıklarında hangi kullanıcılar şifresini başarıyla değiştirdi?
 Seçilen zaman aralığında hangi kullanıcılar şifresini değiştirmek istedi fakat
başarılı olamadı?
 Seçilen zaman aralığında hangi hesaplar silindi ya da görünmez oldu?
Hangi hesaplar etki alanı yönetici grubuna eklendi?
Firewalls: Fortinate,Juniper/NetScreen,
Cisco, Checkpoint, Watchguard, Drytek,
Zyxel, Astaro, BlueCoat, Clavister,
CyberGuard, D-Link, FreeBSD, IPCop,
Kerio, Lucent, McAfee, NetApp, NetASQ,
NetFilter, Netopia, Snort, SonicWALL,
Palo Alto, MS TMG,
Cyberoam,Gateprotect, Barracuda
Proxy-servers: Microsoft ISA, NetCache,
Squid, MS TMG,Trend Micro, Mcafee
IDS/IPS: Checkpoint, Juniper IDP, Cisco,
UTM devices and others
VPN: Cisco ASA VPN Concentrator ,
Juniper SSL VPN, Microsoft PPTP/L2TP,
SonicWALL Aventail
Operating Systems: Microsoft® Windows
Server™, 2000/2003/2008/2012,
Microsoft Windows®, XP, Vista, 7,
8,RedHat® Linux, SuSE® Linux, IBM
AIX®, Hewlett-Packard HP-UX®,
SunSolaris™, VMware®.
Applications: WebLogic, IBM WebSphere,
SNARE for Windows, Apache (Syslog) ,IIS Web server, FTP server and MS SQL
server, DHCP - Windows and Linux and
Oracle.
Text-Based Log: Csv/W3C/Txt/Custom
Mail Servers: Lotus Notes, MS IIS SMTP,
MS Exchange, Qmail, Postfix,Zimbra
Web Filter: Barracuda Spam Firewall,
McAfee Web Gateway, Microsoft ISA
Server, Squid, WebSense MailFilter,
WebSense WebFilter
Virtualization: VMWare ESX, ESXi,
vSphere, vCenter
Web Server: Apache Webserver, Microsoft
IIS for Windows 2000, 2003, 2008
Application Monitors : Microsoft
Exchange, Microsoft IIS, Microsoft SQL
Server, MySQL, Oracle, Tomcat, FTP,
HTTP, URL, Port.
Network Monitors: Cisco® & Other
Network Devices, DHCP, SNMP Devices,
SNMP Trap, HP, Avaya, Dell.
Infrastructure: Active Directory, Dell
OpenManage™,HP Systems Insight
Manager ,IBM Director
 Seçilen zaman aralığında hangi kullanıcılar güvenlik hesap logunu temizledi?
 Seçilen zaman aralığında kaç adet kullanıcı sistem saatini değiştirdi?
 Seçilen zaman aralığında işlemler kaç adet kritik olay yarattı?
 Seçilen zaman aralığında kaç adet hata olayı meydana geldi?
 Seçilen zaman aralığında uyarıları tetikleyen olaylar neydi?
 Taşınabilir bellek kullananlar kimler?
 Kim ortak güvenlik duvarını aşabilmek için ek network arayüzü kurdu?
 Kim hangi uygulamayı çalıştırdı?
 Kim belirli dokümana erişebildi?
 Kim belirli dokümanı sildi?
 Birisi şifreleri ele geçirmek için casus program kullanıyor mu?
 Hangi bilgisayarlara belirli güvenlik paketleri yüklenmemiş?
 Hangi bilgisayarlara modem yüklenmiş?
 Kurum yapısında herhangi bir kablosuz ulaşım noktası var mı?
 Kurum networkünde izinsiz bir DHCP sunucu var mı?
 Kim hangi ekran görüntüsünü ele geçirdi?
 5 dakika içerisinde aynı kaynaktan 3 den fazla IPS logu gelirse uyar
 5 dakika içerisinde aynı kaynaktan 3 den fazla Virus logu gelirse uyar
 1 dakika içerisinde aynı kaynaktan farklı 50 veya daha fazla farklı ip ye trafik
olursa uyar
 Yeni bir kullanıcı oluşturulur ve bu oluşturulan kullanıcı ile erişim yapılmaya
çalışılıp başarısız olunursa uyar
 Aynı kullanıcıdan 3 den fazla başarısız erişim olup sonrasında başarılı erişim
olursa bu brüte force atack olasılığıdır ve uyar
 Administrators grubuna kullanıcı eklenirse uyar
 Aynı kullanıcı ile 1 dakikada 5 den fazla başarısız erişim olursa
uyar(Kullanıcı bilgileri ile birlikte)
 Aynı kullanıcı 60 dakikada 50 den fazla sistemlere login olursa
uyar(Kullanıcı bilgileri ile birlikte)
 Aynı kaynak IP den 3 veya daha fazla başarısız erişim ve hemen ardından
başarılı erişim olursa uyar.
 Web sunucuya cgi, asp, aspx, jar, php, exe, com, cmd, sh, bat dosyaları uzak
lokasyondna işletilmek üzere gönderilirse uyar
 İstenmeyen uygulamalar (Teamviewer, LogmeIn, Nmap, Nessus)
çalıştırıldığında uyar
 Spam yapan kullanıcıyı tepit et.(saatte 60 den fazla mail gönderen kullanıcıyı
tespit et)
 Spam yapılan kullanıcıyı tepit et.(saatte 25 den fazla mail alan kullanıcıyı
tespit et)
 Gözetlenen log kaynağı son 1 saat içerisinde log göndermezse uyar
 Mesai saatleri dışında sunuculara ulaşan olursa uyar
 Eğer 1 dakika içerisinde 10 adet deny veya kullanıcı adı olmayan başarılı
login loğu gelirse uyar
 Seçilen zaman aralığında kimler çevrimiçiydi?
 Seçilen zaman aralığında network üzerinde kaç tane başarısız oturum açma
girişimi meydana geldi?
 Seçilen zaman aralıklarında hangi kullanıcılar şifresini başarıyla değiştirdi?
 Seçilen zaman aralığında hangi kullanıcılar şifresini değiştirmek istedi fakat
başarılı olamadı?
 Seçilen zaman aralığında hangi hesaplar silindi ya da görünmez oldu?
 Hangi hesaplar etki alanı yönetici grubuna eklendi?
 Seçilen zaman aralığında hangi kullanıcılar güvenlik hesap logunu temizledi?
 Seçilen zaman aralığında kaç adet kullanıcı sistem saatini değiştirdi?
 Seçilen zaman aralığında işlemler kaç adet kritik olay yarattı?
 Seçilen zaman aralığında kaç adet hata olayı meydana geldi?
 Seçilen zaman aralığında uyarıları tetikleyen olaylar neydi?
 Taşınabilir bellek kullananlar kimler?
 Kim ortak güvenlik duvarını aşabilmek için ek network arayüzü kurdu?
 Kim hangi uygulamayı çalıştırdı?
 Kim belirli dokümana erişebildi?


Kim belirli dokümanı sildi?
Birisi şifreleri ele geçirmek için casus program kullanıyor mu?
PERFORMANS YÖNETİMİ
Suresec ile yönlendiriciler, anahtarlama cihazları, sunucular ve SNMP protokolü çalıştırılabilir tüm cihazlardan rapor, istatistiki bilgi ve gerçek
zamanlı izleme elde edilebilmektedir. Ağ Cihazlarının Yönetimi esnasında yine bu cihazlara bağlı olarak izleme yaparken ağ üzerinde yer alan
tüm cihazların Hazıfa (CPU), Bellek Kullanımı (Memory), Disk uygunluğunu gerçek zamanlı olarak gözlemlemeyebilmektedir.
Suresec SNMP, SSH, Telnet, WMI ve uygulamalara özel protokoller kullanarak sunucu, ağ cihazları ve uygulamalar için performans yönetimi de
yapabilir.
Windows Management Instrumentation (WMI), Windows işletim sistemlerinde veri ve operasyon yapısını yönetmemizi sağlıyor. WMI
sayesinde donanım ve yazılım sistemimiz hakkında bütün bilgileri elde edebilir. Mesela : HDD kullanım oranlarını, CPU kullanım oranlarını ,
hafiza kullanımı vb..
Ayrıca WebLogic, WebSphere gibi uygulamaları da kendi protokolleri üzerinden kontrol edebilir.
Suresec performans yönetimi ile:








X sunucusunda CPU kullanımı %70 i geçtiği sırada o sunucuya login olan(lar) kim(ler)?
Son 7 aylık CPU kullanım trendim nedir?
Hangi Sunucuları güncelleme zamanı geldi?
Sanal sunucularımın performans raporları,
X sunucusunda CPU kullanımı %70 i geçtiği sırada o sunucuda çalışan uygulamalar hangileri?
En önemli N alarmları nelerdir?( Ağ arızalarının hızlı şekilde sorgulanmasını sağlamak için)
Top N performans kullananlar hangileridir? ( CPU ve bellek kullanımı gibi performans verileri)
Sınıflandırılmış istatistikler: ağ kaynaklarıyla ilgili istatistikleri.
Gibi raporlar alabilirsiniz. Böylece






Veri iletişim altyapısının analizi ve değerlendirilmesi
Veri iletişim altyapılarının projelendirilmesi, kurulması, yerinden veya uzaktan yönetilmesi
Mevcut iletişim sistemlerinin iyileştirilmesi ve yeni sistemlere entegre edilmesi
Telekom takip ve danışmanlık hizmetleri
Kapasite planlama ve performans analizleri
Satın alma ya da bakım hizmetlerine yönelik ihale ve şartname hazırlıklarına destek verilmesi

İzleme, hata yönetim, raporlama ve bakım hizmetlerini yönetebilirsiniz.
PROAKTİF YÖNETİM
Tüm ortamlardan alınan verilerin birleştirilerek anlaşılabilir hale getirilmesi ve gerekli şart ve durumlarda alarm üretebilmesi önemlidir. Alarm
Örnekleri:






X sunucusunda CPU kullanımı %N i aşarsa uyar
Z Serverindaki Y servisi durursa uyar
Storage daki boş disk oranı %N ı aşarsa uyar
VM sprawl durumu oluşursa uyar
SLA aşımı olursa uyar
Bant kullanımı %N i geçerse uyar gibi sınırsız sayıda alarmlar ve uyarılar oluşturulabilir.
SANAL ALTYAPI VE SERVER YÖNETİMİ
Sanal makineler sadece manipüle edilecek objeler değil aynı zamanda gerçek iş yüklerine sahip bilgisayarlardır. Sanal
makineleri de fiziksel sistemler gibi yönetmek zorunludur. Çok kapsamlı entegre yönetim araçlarından oluşan
SURESEC kullanarak karmaşıklıkları en aza indirebilir ve işlerinizi kolaylaştırabilirsiniz.
VMWARE API kullanılarak kritik parametreler takip edilip, trend analizleri yapılabilir. VMWARE ile ilgili olarak:


Ajansız ve autodiscovery kullanarak yeni eklenen sanal makineleri otomatik bulur ve yönetmeye başlar
Yüzlerce parametreyi otomatik olarak takip eder. Percent Wait, Memory Zero, Memory Balloon, Memory
Unreserved, Memory Shared vs..
o

http://pubs.vmware.com/vsphere50/index.jsp?topic=%2Fcom.vmware.wssdk.apiref.doc_50%2Fmemory_counters.html
Akıllı alarm yönetimi sayesinde yanlış alarm üretmez.
ENTEGRE AĞ YÖNETİMİ
Suresec bilinen ağ yönetim yazılımlarından farklı olarak sistemleri yönetirken



Topolojik bağımlılık
İşletim Bağımlılığı
Mantıksal Bağımlılık
Durumlarını da dikkate alarak ağ yönetimi operasyonlarını yönetmenizi sağlar. Mesela WEB tabanlı bir ERP
hizmetinin SLA değerlerini ERP uygulamasının kendisi, kullandığı veritabanı , kendisinin ve kompenetlerinin çalıştığı
fiziksel veya sanal sunucular, bu sunucuların işletim sistemleri ve LAN ve WAN tarafında kullandığı switchler ve
internet çıkışının sağlandığı router ile ilişkisini bilip ona göre yönetim yapar. Dolayısı ile router ın down olması
durumunda internet üzerinden ERP kullananların ERP hizmetini kullanamayacağını bilir hem SLA hem de alarm
yönetimini buna göre otomatik olarak şekillendirir.
Referanslarımızdan Bazıları
İletişim Bilgileri
Doğu Mah. Bilge sok. No=2
Kat= 5 Daire= 4
Pendik/İstanbul
T: 0216 3540580-81
F: 0216 3540580
[email protected]
[email protected]
www.anetyazilim.com
www.anetyazilim.com.tr