LOG YÖNETİMİ

BONASUS PLUS:

Bonasus Plus İşlevleri:
• Log Yönetimi
• 5651 ve Diğer Standartlara Uyumluluk:
• Sox, Cobit, HIPAA, GLBA, ISO 27001 ve diğerleri
• Güvenlik standartlarına ve ilgili yasalara uyumluluk
• Kurumsal politikaların daha etkili kullanılması
• Kurumsal kurallara aykırı davrananların tespiti

Toplam sahip olma maliyetinin azaltılması,

Log Yönetiminin Önemi ve Bonasus Plus

Son zamanlarda birçok şirket sistemlere yapmış oldukları yatırımlardan daha cok verim alabilmek icin Log Yonetimi üzerine yogunlaşmiş durumdadırlar ve bu şirketlerdeki IT departmanları da Log Yonetimi sayesinde verimliliği arttırmaktadırlar.

Son zamanlarda birçok şirket sistemlere yapmış oldukları yatırımlardan daha cok verim alabilmek icin Log Yonetimi üzerine yogunlaşmiş durumdadırlar ve bu şirketlerdeki IT departmanları da Log Yonetimi sayesinde verimliliği arttırmaktadırlar.

Son zamanlarda kanunlar da Log Yonetimi konusuna onem vermektedirler. Log Yonetimi ornegin PCI denetimi sirasindaki yukumluluklerin karsilanmasi konusunda gereklidir. Sorumlu olduklari denetimler icin Log Yonetimi yapan sirketler bu loglar sayesinde sistemlerinde farkinda olmadiklari bir cok sorunu da tespit etmektedirler.

Yonetim seviyesinde duyarliligin artmasina faydali olan Log Yonetimi sayesinde sirketler daha verimli ve saglikli bir ag yapisina sahip olurlar.Sonuc olarak Log Yonetimi sistemlerin cokmesine sebebiyet veren sorunlarin evvelden tespit edilerek sistemlerin daha guvenli calismasina ve sistemlerin daha az cokmesini firsat verir.
Referans SANS Log Survey Raporları

Bonasus Plus- Bilgi Güvenliği

• Bilgi güvenliği ihlalleri ve vakaları arttıkça log yönetiminin önemi ve gerekliliği daha iyi anlaşılmaktadır.
• ISO 27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır.
• COBIT, ISO-27001 ve PCI log yönetimine özel vurgu yapmaktadır.
• Büyük ölçekli şirketlerin 2009 yılı güvenlik bütçesindeki en büyük payın loglama sistemlerine ait olduğu bilgisi log yönetiminin gittikçe artan önemini kanıtlar niteliktedir.

Temel Log Yönetimi Aktiviteleri

• Üretim
• Toplama
• Depolama
• Raporlama
• İlişkilendirme
• Özetleme
• Alarm üretimi
• Arşivleme

BONASUS PLUS TEKNİK ÖZELLİKLERİ:

• Dağıtık mimariye sahip
• Herhangi bir etmen(agent) kurulumu gerektirmez. Ürün herhangi bir ajan/etmen ihtiyacı olmadan Windows event loglarını toplar
• Platform Bağımsız .
• Motor (Engine)Java ve Arayüz PHP
• WEB Tabanlı
• Çok Kullanıcılı
• Yetki Tabanlı Kullanıcılar
• Sistem Auto Control
• Sistem log kaynaklarından log toplamada yada gelen logların EPS değerlerinde değişiklik olması durumunu algılayıp uyarabilir
• Tanınmayan logları algılayıp uyarabilme
• Güvenlik ve Network Cihazları ile AD entegrasyonu sağlar
• Firewall loglarını Kullanıcı Adı ve Bilgisayar adı ile birlikte görüntüleyip rapor oluşturabilir ve filtreleyebilir
• Gelişmiş Korelasyon Yeteneği
• Olaylar ile ilgili log toplama, ilişkilendirme, normalleştirme ve sınıflandırma işlemlerini yapabilir
• Olay tipleri hızlıca ortak değerlere göre sınıflandırılabilir tamamen farklı kaynaklardan gelen bilgilerde ilişkilendirme yapılabilmelidir.

(Örn: Farklı üreticilerin saldırı tespit sistemlerinden ve güvenlik duvarlarından gelecek olan port taraması, tek bir port taraması olarak değerlendirip, sınıflandırılabilir)

LOG KAYNAKLARI

İşletim Sistemleri:
• Windows XP/Vista/7
• Windows Server 2000/2003/2008/R2
• Unix/Linux Türevleri
• Nas Cihazları (NetApp)

Uygulamalar:
• Dhcp
• IIS 6/7/7.5 (W3C)
• Apache (Syslog)
• Text-Based Log (Csv/Tsv/W3C/Txt/Custom )
• Dansguardain
• Postfix

Raporlar

• Logon/logoff takibi
• Başarısız oturum açma girişimi
• Logların silinmesi
• Kullanıcı hesabındaki değişikliklerin takibi
• Kimlerin ağ üzerinden oturum açtığının belirlenmesi
• Web sunucu üzerinde bulunan index.html dosyasında gerçekleşecek değişiklik,
• Dhcp sunucu servisinin durması
• v.b. 100 lerce hazır rapor
• Tamamen Görsel Raporlar
• 100 lerce Hazır rapor
• Toplist Raporları

Hazır Raporlar

• Trafik Raporları
• Firewall Raporları
• Saldırı Raporları
• Anti-virus Raporları
• VPN Raporları
• URL Raporları
• Mail Raporları
• WEB Sunucu Raporları
• Proxy Raporları
• DHCP Raporları
• Printer Raporlar
• USB Raporları
• Dosya Erişim Raporları
• Logon/Logoff Raporları
• Başarısız Logon Denemeleri

Hazır Raporlar

• Veritabanı Raporları
• HIPAA Uyumluluk Raporları
• Kullanıcı Oturum Raporları (User Logon Report)
• Başarısız Oturum Açma Raporları (Logon Failure Reports)
• Güvenlik Kayıtlarına Erişim Raporu (Audit Log Access Reports)
• Nesne Erişim Raporları (Object Access Reports)
• Sistem Olayları Raporu (System Events Report)
• Oturum Durum Raporu (Host Session Status Report)
• Başarılı Etki Alanı Oturum Açma Raporu (Domain Logon Reports)
• Başarısız Etki Alanı Oturum Açma Raporu (Domain Logon Failures)
• Güvenlik Kayıtlarının Arşivlenmesi (Security Log Archiving)

SOX Uyumluluk Raporları

• Kullanıcı Oturum Raporları (User Logon Report)
• Başarısız Oturum Açma Raporları (Logon Failure Reports)
• Güvenlik Kayıtlarına Erişim Raporu (Audit Log Access Reports)
• Nesne Erişim Raporları (Object Access Reports)
• Sistem Olayları Raporu (System Events Report)
• Oturum Durum Raporu (Host Session Status Report)
• Güvenlik Kayıtlarının Arşivlenmesi (Security Log Archiving)
• Oturum Durum Raporu (Host Session Status Report)
• Hesap Yönetim Olaylarının Takibi
• Kullanıcı Grup Değişikliklerinin Takibi

FAUNA

Logüretebilen bütün cihazlardan loglarıtoplamak, olay kayıtlarını gerçek zamanda toplamak ve bu logkayıtları ve olaylara kullanıcı yada bir eksper tarafından belirlenen kurallara göre işlemler uygulayıp sonuç çıkarmak ve bu sonuçlara göre de yetkilileri uyarmak amacıyla geliştirilmiş bir olay ve logyönetim sistemidir.
Fauna temelde bir yönetim sistemi.Bu sistem logve olay toplama, bu logve olayların tanımlanması ve çözümleme (parsing) işlemlerini yapabilen bir platform.Ve bu platform bir arayüz tarafından yönetilmekte.Temel avantajı ise değişen veri tipleri (logformatları ve olaylar) ile değişen kurallara (policyandbusinessrules) en hızlı adaptasyonu sağlamak üzere tasarlanması

Fauna Konnektörleri:
1.Uygulamalara ait olaylar
2.Ağ cihazlarına ait olaylar
3.Veri tabanı olayları
4.Yedekleme
5.Hatalar
6.DHCP kayıtları
7.Web Aktiviteleri vs..
SİSTEMİFaunaKonnektörleri:
1.SNMP
2.WindowsEvents
3.Veritabanı
4.KomutSatırı
5.Ping
6.POP3
7.HTTP
8.TCP
9.UDP
10.Tail
11.SNMPTRAP
12.SYSLOG
13.UDPTRAP
14.TextImport
15.Telnet
16.SHELL
17.SOCKET

Faunaİşleyicileri(Handlers):
1.Dosya
2.SNMPTrap
3.XML
4.Komut İşletme(Exec)
5.Filtrele
6.Matematiksel Operatörler
7.RSS Feed
8.Zamanlayıcı
9.SNMP XML Dosyası
10.Veri Değiştirme

FaunaKomponentleri:
1.Veri Toplama Ünitesi
2.Politika Ünitesi;
-GörselPolitikaEditörü
-HazırPolitikaDosyaları
3.Olay İlişkilendirme(Korelasyon) Ünitesi
4.Raporlama Ünitesi
5Alarm Ünitesi

TemelAvantajlar

1.Bir Platform Olarak Tasarlanması
2.BT
3.Telco
4.Enerji
5.Geniş Veri Toplayabilme Yeteneği
6.Merkezi Log Toplama
7.Kullanıcılara Esnek Politika Belirleme Olanağı Sunması
8.Grup Tabanlı Kurallar ve Politikalar
9.Topoloji Tabanlı Kurallar ve Politikalar
10.Proje Tabanl ıÇözümler İçin Özel Altyapı
11.Fiyat/Performans Avantajları
SektörelKullanım Örnekleri:
A.Bilgi Güvenliği
B.Telekom
C.Enerji

A.Bilgi güvenliği ihlalleri ve vakaları arttıkça log yönetiminin önemi ve gerekliliği daha iyi anlaşılmaktadır.
B.ISO27001, Bilgi Güvenliği(BG) Yönetim Standardında log(iz kaydı) yönetimin önemi vurgulanmaktadır.
C.COBIT, ISO-27001 ve PCI log yönetimine özel vurgu yapmaktadır
Büyük ölçekli şirketlerin 2009 yılı güvenlik bütçesindeki en büyük payın loglama sistemlerine ait olduğu bilgisi log yönetiminin gittikçe artan önemini kanıtlar niteliktedir.

İNTELLİ LOG

• Web tabanlı uzaktan kumanda dostu grafik arayüzü kullanıcı üzerinden esnek uzaktan yönetim sağlar
• Özelleştirilebilir ve ölçeklenebilir bir sistem herhangi bir ağ platformları uygun
• İzinsiz girişlere karşı Anında uyarı e-posta ve kısa mesaj servisi (SMS) gibi algılandı
TEMEL ÖZELLİKLERİ:
Raporlar:
Saldırı, Tehdit, VPN, Virüs, URL, Windows Olayları, Performans ve Utilization, Spam ,Olay kayıtları üzerinden geniş raporlama seçenekleri
Örnek Raporlardan Bazıları:
-En çok gezilen siteler
-En çok gezen kullanıcı(AD entegrasyon modülü gerektirebilir)
-En çok gezilen bilgisayar adları (AD entegrasyon modülü gerektirebilir)
-En çok gezen IPler
-En çok gezilen günler
-En çok trafik üreten ipler
-En çok trafik üreten kullanıcılar
-En çok trafik üretilen günler
-En çok saldırılan ipler
-En çok saldırıya maruz kalan ipler
-En çok saldırıya maruz kalınan günler
-En çok tespit edilen virüsler
-En çok virüs saldırısına maruz kalan ipler
-En çok virüs saldırısına maruz kalan bilgisayar adları
-En çok virüs saldırısına maruz kalınan günler
-En çok VPN yapan Clientlar
-En çok VPN Yapılan günler
-VPN listeleri
-VPN Trafik Raporlar

Envanter Raporları ve Network Topolojisi:

Sistem SNMP protokolü üzerinde network topolojisini çıkarıp haritalandırabildiği gibi envanter raporları akif cihazlar,pasif cihazlar vs.. raporlayabilmektedir.
Alarm Yönetimi:
Toplanan kayıtların gerek logun ID sine gerekse farklı kaynaklardan alınan logların ilişkilendirilmesi sonucunda belirli bir zaman dilimi içinde yaşanan bir sorunu fark edecek mekanizmanın kurulması ve yönetilmesi genel olarak tanımlanmaktadır. Kural Veritabanı:
Her türlü kritere uygun Korelasyon kuralı belirleme yeteneği sistemde mevcuttur. Kullanıcı tarafından belirlen kurallar dışında sistemde hazır gelen veriler ile de kural tabanı genişletilebilir
Korelasyon kuralı tanımlama arabirimi
Korelasyon:
Kullanıcı tarafından belirlen kurallar belirli ilişkilerle veya mantıksal operatörlerle işletilerek sonuçlar ve çıkarımlar oluşturulmasını sağlayan korelasyon modülü.
ISO27001, SOX, HIPAA ve PCI DSS Uyumluluk Raporları:
Uyumluluk Raporları var olan risklerin minimize edilmesi için olusturulmus prosesler bütünüdür. Risk yönetimi; risk analizi, risk degerlendirme, risk önleme, tehditlerin ve kontrollerin degerlendirilmesi olmak üzere dört ana süreçten oluşur ve bu süreçlerdeki uyumluluk raporları sistem tarafından otomatik oluşturulur
HIPAA Uyumluluk Gereksinimleri:
-Kullanıcı Oturum Raporları (User Logon Report)
-Başarısız Oturum Açma Raporları (Logon Failure Reports)
-Güvenlik Kayıtlarına Erişim Raporu (Audit Log Access Reports)
-Nesne Erişim Raporları (Object Access Reports)
-Sistem Olayları Raporu (System Events Report)
-Oturum Durum Raporu (Host Session Status Report)
-Başarılı Etki Alanı Oturum Açma Raporu (Domain Logon Reports)
-Başarısız Etki Alanı Oturum Açma Raporu (Domain Logon Failures)
-Güvenlik Kayıtlarının Arşivlenmesi (Security Log Archiving)

SOX Uyumluluk Gereksinimleri:
-Kullanıcı Oturum Raporları (User Logon Report)
-Başarısız Oturum Açma Raporları (Logon Failure Reports)
-Güvenlik Kayıtlarına Erişim Raporu (Audit Log Access Reports)
-Nesne Erişim Raporları (Object Access Reports)
-Sistem Olayları Raporu (System Events Report)
-Oturum Durum Raporu (Host Session Status Report)
-Güvenlik Kayıtlarının Arşivlenmesi (Security Log Archiving)
-Oturum Durum Raporu (Host Session Status Report)
-Hesap Yönetim Olaylarının Takibi
-Kullanıcı Grup Değişikliklerinin Takibi
-Denetim Politikalarında Yapılan Değişikliklerin Takibi
-Başarılı Etki Alanı Oturum Açma Raporu (Domain Logon Reports)
-Başarısız Etki Alanı Oturum Açma Raporu (Domain Logon Failures)
-Kullanıcı Hareketlerinin Takibi
-Uygulama Çalıştırma Olaylarının Takibi
-Dizin/Dosya Erişim Takibi

CENTRAL SECURİTY LOGGER

Log toplama programı 01.11.2007 tarihli ve 26687 sayılı Resmi Gazete'de yayımlanan İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönet melik'in 5 inci maddesi birinci fıkrasının (e) bendine istinaden, (d) bendi gereğince, ticari amaçla internet toplu kullanım sağlayıcılarının elektronik ortamda sistemlerine kaydetmelerini sağlayan log kayıt programıdır.
Logarının doğruluğunun ve bütünlüğünün teyit edilebilmesi için Telekomünikasyon İletişim Başkanlığı tarafından hazırlanan IP Log İmzalayıcı programı ile birlikte kullanılmaktadır
CSLile 5651 Nolu yasa kapsamında sistemde alınması gereken tüm logların merkezi bir noktaya toplanmasını ve kanunda belirtilen Bilgilerin Doğruluğunu, Bütünlüğünü ve oluşacak olan verinin dosya bütünlük değeri olan HASH bilgisinin zaman damgası ile saklanmasını ve gizliliğinin temin edilmesini sağlayan bir sistemdir.
Sistem : Firewall, UTM sistemler, Sunucular, Aktif cihazlar, Database'ler ve kullanıcı bilgisayarlarında üretilmiş olan logların merkezi bir noktaya toplanmasını, HASH alınıp üzerine Zaman Damgası vurularak Bilgilerin Doğruluğunun ve Bütünlüğünün korunmasını sağlayan bir uygulamadır. Sistem yapısında toplanan loglar ve verilerde hiçbir değişiklik yapılmadan sistemin tanıyacağı formata çevrilir. Bonasus-Plus web tabanlı bir arayüze sahiptir, dolayısı ile uzak bağlantı ile yönetim ve konfigurasyon yapılabilir.

DASHBOARD

Bu bölüm log kayıt raporları ve bilgisayar için en önemli olan araçlarını durumu grafikler aracılığıyla gözükmektedir.

Haftalık Log Kayıtları: Bir haftada içinde Tutulan log kayıt oranlarının grafiğidir yanı haftanın her günün alınan log kayıtların oranlarının grafikte gösterimidir.

Cpu:Programın Kurulu olduğu bilgisayardaki işlemcinin (CPU) o an için ne kadar kullanıldığını gösterildiği grafiktir.

Disk:Programın Kurulu olduğu bilgisayardaki diskin C dizinin kapasitesini gösterir.

RAM: Programın Kurulu olduğu bilgisayardaki anlık RAM kullanım oranını gösterir.