Güvenlik

Infraskope ile Log Yönetimi


Her geçen  gün önemi artmakta olan Log Yönetimi projeleri, bu konudaki çeşitli çözümlerle  var olan ihtiyacın kapatılması noktasında ciddi adımlar atılmaktadır. Daha önceki makalelerimde de vurguladığım  gibi “Log Yönetimi”  çözümleri tak çalıştır çözümler olmadığı  gibi bu şekilde olması da beklenemez.


Bu makalemizde log yönetimi konusunda uzun zamandır orta ve büyük ölçekli firmalara çözüm sunan Karmasis firmasına ait Infraskope ürününü inceleyeceğiz. Kolay kurulum, entegrasyon ve genişletilebilirlik gibi  imkanlar sunan Infraskope ürünü % 100 yerli sermaye ve türk mühendislerin katkısı ile bugünlere gelmiş bir çözümdür.


image001


Şimdi kısaca Infraskope ile neler yapabildiğimizi, log alabildiğimiz kaynakları, yönetim arayüzlerini, uyarı mekanizmalarını ve raporlama ekranlarını kısaca inceleyelim;


Sistem Gereksinimleri: Infraskope Security Event Manager kurulumu için,  kurulumun yapılacağı sunucu tafaındaki sistem gereksinimleri şunlardır;



  • Windows Server 2003/2008

  • SQL 2005/2008

1000  agent olan mimaride Infraskope Log Yönetimi çözümünün kurulacağı sunucunun



  • 1 Quad Core Cpu

  • 2 Gb Ram

Yönetim konsolunun kurulacağı istemci sistem gereksinimleri şu şeklidedir;



  • Windows XP/ Vista/7/2003/2008/

Infraskope Security Event Manager çözümüne ait ajan ve sensor kurulumunun yapılacağı istemci veya sunuculardaki sistem gereksinimleri şu şekildedir;



  • Windows 2000/XP/2003

  • .Net Framework

Kapsam : Infraskope Security Event Manager ile yapılabilenler kısaca şu başlıklar altında toplayabiliriz;



  • Enterprise Log Management

  • Inventory Management

  • Application Management

  • Change Management

  • Print Audit

  • Remote Desktop Management

  • USB Device Control (Device Lock veya benzeri)

  • File System Audit (ScriptLogic vb gibi)

  • Software License Management (Windows serial key’ler de dahil  izlenebilmektedir.)

Bunların dışında İnfraskope çözümüne özgü ek özellikler de mevcuttur. Örneğin arp poising tespiti, alınan ekran görüntülerininloglanması v.s.


Event Log Kaynakları:


 


İşletim Sistemleri:



  • Windows XP/Vista/7

  • Windows Server 2000/2003/2008/R2

  • Unix/Linux Türevleri

  • Nas Cihazları (NetApp)

Uygulamalar:



  • IAS (Vpn), Dhcp

  • IIS 6/7/7.5 (W3C)

  • Apache (Syslog)

  • SharePoint

  • Text-Based Log (Csv/Tsv/W3C/Txt/Custom )

Network Cihazları:



  • Cisco Switch/Router

  • Generic Syslog

  • Snmp mib walk

Firewall / Proxy:



  • ISA/TMG Server/Websense/Juniper

  • Cisco Pix/CheckPoint

  • Labris/İ-Bekçi

  • BlueCoat

  • Generic Web Listener (Mirror Port ile)

Email:



  • Exchange 2003

  • Exchange 2007

  • Exchange 2010

  • SendMail/Qmail ve Bezeri *nix Tabanlı Sistemler

IDS/IPS:



  • ISS/Proventia

  • Snort

Diğer:


Bu uygulama ve donanımların dışında syslog ve snmp trap  gönderen tüm cihazlardan log alınabilir. Ayrıca desteklenen uygulama ve donanımlar listesinde olmayan Log Kaynakları için de özel Collector yazılarak ilgili logların Infraskope Log yönetimi sistemine  alınması sağlanabilir.


Kurulum ve Mimari: Sunucu ve istemcilerden logların alınması agent kurulumu ile gerçekleşir. Kurulumu gerçekleşen agent’ın kaynak  kullanımını sınırlayabilirsiniz. Örneğin ram kullanımı 800 kb olsun diyebilirsiniz. İnfraskope sunucusu ve agent kurulu log kaynakları arasında haberleşme 80 portu üzerinden xml tabanlı gerçekleşmektedir. İsterseniz  bu haberleşmeyi 443 portu üzerinden de sağlayabilirsiniz.  İnfraskope log sunucusu ve ilgili log kaynağı arasındaki haberleşmenin sağlanamaması durumunda herhangi bir log kaybı yaşanmaması için, agent kendi üzerinde bu logları  tutar ve iletişim sağlandığında İnfraskope log sunucusuna bu logları gönderir. Event logları alınacak istemci ve sunuculara agent kurulumu uzaktan yapılabilir. İlgili logon, startup v.b. scriptler yazılarak (ürüne ait hazır scriptler vardır) domain controller üzerinden veya İnfraskope sunucusu üzerinden bu agent kurulumlarını gerçekleştirebilirsiniz.


Sensor ve Connector Kullanımı: İnfraskope üzerinde  çeşitli uygulama, sunucu ve kaynaklardan log alınabilmesi için sensor ve connectorler geliştirilmiştir. Böylelikle esnek ve genişletilebilir bir mimari sağlamaktadır. Kullanılan sensor ve connectorler şunlardır;


Syslog Connector: Unix tabanlı sistemler ve ağ/güvenlik cihazlarında oluşan logların syslog olarak alınması sağlanır.


image002


Nas Log Connector: Kullanıcıların ortak erişim sağladığı ve kurumsal bilgilerin bulunduğu NAS cihazları üzerinde oluşan dosya erişim (Yetkili/Yetkisiz) bilgilerin loglanması sağlanır. Netapp ve diğer nas cihazları ile uyumluluk vardır.


MSN File Transfer Sensor: Şirket çalışanlarının msn messenger üzerinden hangi dosyaları firma dışı personel ile paylaştığının tespit edilmesini sağlar.


Web Listener Sensor: Firma çalışanlarının internet erişim loglarının alınmasını sağlar. Kaynak ip adresi, kaynak port, hedef ip adresi, alan adı, hedef port, get/post değerleri,  Erişilen URL ve kullanıcı adı v.b. verilere ulaşabilirsiniz. Port mirror mimarisi ile çalışır. İnternet çıkışının “web listener” sensor kurulu bilgisayara yönlendirilmesi ile bahsedilen bilgilere rahatlıkla ulaşabilirsiniz. Bu sayede websense veya Proxy sunucular olmadan kullanıcılarınıza ait internet erişim loglarını alabilir ve raporlayabilirsiniz.


image003


IAS Sensor: Microsoft Internet Authentication Server (IAS) loglarının alınmasını sağlar.


W3C Text Base Sensor: WC3 formatlı logların alınmasını sağlar. Ftp v.b.


Apache Log Sensor: Apache web sunucuya ait logların alınmasını sağlar.


Squid Log Sensor: Squid loglarının alınmasını sağlar.


Microsoft Exchange 2003/2007 Log Sensor: Exchange 2003/2007 mail sunucu loglarının alınmasını sağlar. Kim, kime, ne zaman mail gönderdi, gönderilen mailin başlığı neydi gibi  logların alınmasını sağlar.


SMTP Mail Sensor: Exchange v.b. mail uygulamaları dışında kimlerin25 portundan mail  gönderdiğinin tespitinin yapılmasını  sağlar. Bu sayede kullanıcı bilgisayarlarında çalışan keylogger v.b.  trojanların tespiti yapılır. Bu tarz uygulamalar genellikle kullanıcının basmış olduğu klavye tuşlarını  bir  .txt dosyaya kaydeder ve belli zaman aralıkları ile 25 portu üzerinden hacker tarafından tanımlanan mail adresine mail olarak  gönderir. Bu ve buna benzer durumların tespit etmemizi sağlar. Aynı zamanda mail arşiv ihtiyacınızıda görmüş olacaktır. Çünkü  gönderilen bütün maillerin bir kopyasını tutabilirsiniz. Ayrıca “şifreler” konulu bir maili  kim gönderdi v.b. senaryoları oluşturabilir ve uyarı sms, mail  gönderimi sağlayabilirsiniz.


SNMP Trap Sensor: SNMP  trap  gönderen uygulama ve donanımlardan snmp mesajlarını almamızı sağlar. Bu konuda infraskope ürününe ait mib veritabanında yüzlerce marka ve modele ait mib tablolarını bulabilirsiniz.


Rogue Dhcp sensor: Bu sensor sayesinde ağınız üzerinde bulunan ve sizin bilginiz dışında ip dağıtan dhcp sunucuların tespiti yapılır.


DHCP Sensor: Dhcp sunucunuz tarafından dağıtılan ip adreslerinin tespit edilmesi ve ip-mac eşleşmesinin loglanmasını sağlar. 5651 ile gelen zorunluluklardan bir tanesidir.


Wireless Access Point Sensor: Firma çalışanlarınızın kablosuz erişimlerinde size ait olmayan kablosuz ağlara bağlanması  durumunu tespit eder ve size alarm verilmesini sağlar. Firmanıza ait olan ssid listesini çıkarır bunları whitelist  olarak belirlersiniz ve bu ssid dışında gerçekleşen illegal bağlantıları tespit edebilirsiniz.


Websense ve ISA Connector: Websense ve isa Proxy sunuculara ait logların alınmasını sağlar. Kullanıcıların internet erişim bilgilerine (username, hedef url v.b) erişilmesini sağlanır.


MS Sql ve Oracle Database Auditing Connector: Sql ve Oracle  loglarının alınması sağlanır. Hangi kullanıcı , hangi veritabanında, hangi  sorguyu çalıştırdı (select * from ) gibi bilgilere ulaşabilirsiniz. Veritabanı tarafındaki yaşanacak performans problemleri de ortadan kaldırılmıştır.port mirror mantığı ile de çalışan sensorlerin olması DB sunucu tarafına herhangi bir agent kurulumu gerçekleşitirmeden de istediğimiz logları almamızı sağlar.


MS Share Point Audit Sensor: SharePoint uygulamasına ait logların alınmasını sağlar.


ISA Log Connector: Microsoft ISA Server tarafından üretilen logların (url erişim bilgileri v.s.) merkezi ve realtime toplanmasını sağlar.


SSL Vpn  Sms  OTP (Tek Kullanımlık Şifre) Entegrasyonu: Uzak erişim yetkisi verilen kullanıcıların 2. Bir doğrulama ekranı ile sms otp entegrasyonu sağlanarak, oluşturulan şifrenin cep telefonuna sms olarak gönderilmesi sağlanır.


Wireless Hotspot Gateway Sms Entegrasyonu: Kablosuz erişim hizmeti verilen ortamlarda kullanıcıların sms otp ve  tckimlik no ile yetkilendirme yapılarak internet erişimlerinin sağlanması ve log kaydının tutulması sağlanır.


Diğer: Bunların dışındaki log kaynaklarından da ilgili verilerin alınabilmesi için connector yazılımı gerçekleştirilebilir.


Veritabanı Aktiviteleri: Veritabanları (Sql, Oracle) üzerindeki  logların izlenmesi konusunda infraskope;



  • Yasal düzenlemeler ve standartlar

  • İç denetimler

  • Kurumsal bilgilerin korunması

  • Suistimal olaylarının  tespit edilmesi

  • İş sürekliliği açısından veritabanı üzerinde oluşabilecek hatalardan anında haberdar olma konusunda çözüm sunmaktadır.

Veritabanı üzerinde kim, ne zaman,  hangi veritabanında, hangi tabloda ne gibi değişiklikler yaptı veya ilgili veritabanına olan yetkili/yetkisiz erişmlerin  tespit edilmesi ve raporlanması sağlanır.


Veritabanı loglarının toplanması aşamasında farklı  tekniklerin bir arada kullanılmıştır. Öncelikle bu tekniklerin neler olduğunu, olumlu/olumsuz yönleri ile ele alalım daha sonra da infraskope bu noktada nasıl bir mimari oluşturduğunu inceleyelim;


Ağ üzerindeki  veritabanı trafiğinin  incelenmesi:


Olumlu  tarafları:



  • VT sunucusu üzerinde oluşan olaylardan haberi olmayacağından sunucu üzerindeki hareketler kayıt altına alınamayacaktır.

  • Bununla birlikte sunucu üzerinde ilave bir bileşen kurulmayacak ve yeniden başlatma (restart) gerektirmeyecektir.

  • Sorgu sonuçlarını da izleyebilme

  • İzleme Rolünün ayrılmasının sağlanması

Olumsuz tarafları:



  • İlave bir yazılım/donanım alımı gerektirmesi

  • İlave yazılım ve donanımın getireceği işletme yükü

  • Şifrelenmiş (Encrypted) trafik üzerinde çalışmayabilir. Destekleyen ürünler mevcut olduğundan ürün seçiminde dikkat edilmelidir.

  • Sunucu üzerinden yapılan oturum açma işlemleri de kayıt altına alınmayacaktır.

Veritabanı üzerindeki İşlemlerin (Transaction) izlenmesi:


Olumlu tarafları:



  • VT Sunucusu üzerindeki tüm aktiviteleri kayıt altına alacaktır.

  • Bu nedenle seçici olarak uygulanmalıdır.

  • Log kaynağından işlemi yapan tarafa doğru hareketlerin izlenmesi.

  • Oturum açma, sonlandırma gibi standartlar (HIPAA, SOX vb.) tarafından istenen gereksinimleri karşılamada yeterli bir yaklaşım olacaktır.

Olumsuz tarafları:



  • Güvenlik izleme çözümleri, sistem yöneticileri, veri tabanı yöneticileri de dahil olmak üzere tüm kullanıcı hareketlerinin kayıt altına alınmasını gerektirir. VT üzerindeki her türlü hakka sahip DBA’lerin log tablolarında değişiklik yapmadığını izlemek zordur. Bu nedenle rollerin ayrıştırılması imkansızdır.

  • VT Sunucusu üzerinde azımsanmayacak bir işlemci(CPU) yükü oluşacaktır.

  • VT Sunucusu üzerinde depolama ihtiyacı doğuracaktır.

  • Amaca hizmet etmeyen ancak VT seviyesinde çalıştırılan tüm gereksiz bilgilerde kayıt altına alınacağından bilgi kirliliği ile karşı karşıya kalınacaktır.

  • VT yapılandırma değişikliklerinin yapılması gereklidir.

  • Log kayıtlarının tablolardan çekilmesi gerekeceğinden tam anlamıyla gerçek zamanlı olmayacaktır.

  • Yeniden başlatma (Restart) gerektirebilir.

Tutulan Log’ların okunması


Olumlu tarafları:



  • Veritabanı üzerindeki değişiklikler çoğunlukla log dosyasında tutulur

  • Kurumsal Kayıt Yönetim sistemi ile entegre yapıda ele alındığında logların tek merkezden ve değiştirilmediği garanti edilebilecek şekilde saklanması sağlanacaktır. Bu sayede, rollerin ayrımı da sağlanmış olacaktır.

  • İş sürekliliği açısından VT sunucusunda oluşacak problemlerden de haberdar olunacaktır.

Olumsuz tarafları:



  • Platform bağımlıdır.

  • Kayıt altına alınan veriler kısıtlıdır.

  • Bilgiye erişimleri izlemek için gerekli SELECT ifadeleri kayıt altına alınmayacaktır.

  • Kurumsal Kayıt Yönetim sistemi ile entegre yapıda ele alınmadığında, kurumsal log tutma sürecinin uygulanması, güvenli bir şekilde kayıt altına alınması için ilave işlemler gerekecektir.

Uygulama seviyesinde log tutma


Olumlu tarafları:


Eğer sadece uygulama kanalıyla erişim sağlanıyorsa en uygun çözüm olacaktır.


İş nesneleri (Business objects) düzeyinde ele alındığında kurumsal gereksinimlere uygun, öz ve anlamlı kayıtların tutulması sağlanacaktır.


Raporlama kolaylığı sağlanacaktır.


Kurumsal Kayıt Yönetim sistemi ile entegre yapıda ele alındığında logların tek merkezden ve değiştirilmediği garanti edilebilecek şekilde saklanması sağlanacaktır. Bu sayede, rollerin ayrımı da sağlanmış olacaktır.


Olumsuz tarafları:



  • Uygulama dışından erişimler kayıt altına alınmayacaktır.

  • Verilere erişimin izlenmesinde en iyi raporlanabilen çözüm olarak değerlendirilmektedir.

İnfraskope ile Hibrid bir çözüm sunulmakta ve iş sürekliliği, performans gibi kriterler de göz önüne alınarak yukarıda bahsedilen metodlar birleştirilerek ihtiyaç duyulan veritabanı logları hash ve zaman damgası alınarak arşivlenmektedir.


Sunucu ve İstemci Aktiviteleri: Firma çalışanlarına ait bilgisayarlarda ne gibi aktivitelerin gerçekleştiği, hangi programların çalıştırıldığı v.b. bilgilerin loglanması sağlanır. Kullanıcı bilgisayarlarında alınan loglar kısaca şunlardır;


Sunucu  loglarının alınması için ilgili log kaynağına kurulacak olan infraskope agent sayesinde tüm logların alınmasını sağlayabilirsiniz.


Sunucular üzerinde alınabilecek loglar kısaca şunlardır;



  • System

  • Application

  • Security

  • Directory Service

  • DNS

  • File Service loglarının alınması sağlanır. Böylelikle sunucular üzerinde gerçekleşen yetkili/yetkisiz erişimler, şifre denemeleri, dosya işlemleri, registry değişiklikleri, ip  konfigurasyon değişiklikleri v.b. log kayıtlarının alınması sağlanır. Bu loglara ait success/failure, warning, information gibi bilgilere de ayrıntılı  bir şekilde erişebilirsiniz.

Sunucu ve istemciler üzerinde infraskope ile alınablien log kayıtları kısaca şu şekildedir;



  • Windows Event Logları: Windows işletim sistemin üretmiş olduğu system, application, security logların alınması sağlanır. Yetkili/yetkisiz erişimler, şifre denemeleri, c$ bağlantı girişimlerini, logon tiplerini, event logların kim tarafından silindiği v.b.  log kayıtlarına erişebilirsiniz.


  • Regedit Değişiklikleri: İstemyci veya sunucular üzerindeki regedit değişikliklerinin tespit edilmesi ve loglanmasını sağlar. Ayrıca tanımladığınız regedit değişiklikleri sonucunda uyarı bildirimleri (mail, sms ) yapılabilir.


  • Dosya Erişim Logları: Kullanıcı bilgisayarları üzerinde yer alan dosyalar üzerinde gerçekleşen erişim ve değişikliklerin loglanmasını sağlar. Bunun için öncelikle dosya erişimlerinin işletim sistemi tarafından izlenmesi sağlanmalıdır.

image004



  • Usb Erişim Logları: Kullanıcıların Usb cihaza ne kopyaladığı ile ilgili log kaydı. Kopyalanan dosyaların takibini yapabilir ve usb aygıt erişimlerini disable edebilirsiniz.

image005



  • Alınan Ekran Görüntüleri: Kullanıcıların neyin ekran görüntüsünü aldığına ait ekran  görüntüsü ile birlikte loglanması sağlanır.


  • Arp Poising Tespit Edilmesi: İstemci bilgisayarlarında çalıştırılan herhangi bir  “arp poising” programının tespit edilmesi sağlanır. Çalışma mantığı kısaca şu şekildedir. Arp poising saldırılarında kurban bilgisayara gateway olarak ilgili Arp poising programının çalıştığı  bilgisayar gateway olarak anons edilir ve trafik Hacker’ a ait bilgisayar üzerinden geçer. Bu noktada İnfraskope agent şunu yapmaktadır; istemci veya sunucularda arp tablosunu kaydetmekte ve her 3’er sn aralıklarla bir önceki arp tablosu ile karşılaştırmaktadır. İp-mac eşleşmesinde değişiklik olduğunda istediğiniz uyarı mekanizmalarını devreye  sokabilirsiniz.bununla birlikte arp ve mac spoofing tespiti yapılabilmektedir.


  • 3G modem/ Bluetooth Tespit Edilmesi : Kullanıcı bilgisayarlarında takılı 3Gmodem ve bluetooth cihazları tespit edebilirsiniz. Sizin kontrolunuz dışındaki cihazların kullanımını engelleyebilirsiniz.

image006


image007



  • Çevrimiçi Kullanıcılar: Günün herhangi bir zaman diliminde kimlerin çevrimiçi olduğunu tespit edebilirsiniz. Hangi bilgisayarda, hangi kullanıcı çevrimiçi  veya logon/logoff v.b. bilgilere ulaşabilirsiniz.

image008



  • Illegal Uygulamaların Tespit Edilmesi: Belirlemiş olduğunuz hack/crack v.b. kullanılması sistemsel problemlere yol açacak veya güvenlik tehtidi oluşturacak  programların realtime tespit edilmesi ve ilgili programların çalışmasının engellenmesi sağlanır.

image009



  • Ip Konfigurasyon Değişikliklerinin Tespit Edilmesi: İstemci ve sunucularda yapılan ip konfigurasyon değişikliklerinin(ip, dns, wins, gateway v.b.) tespit edilmesi sağlanır. 


  • Mac Adres Değişikliklerinin Tespit Edilmesi : Sunucu ve istemci bilgisayarlarında yapılan mac adres değişiklikleri tespit edilmesi sağlanır. böylelikle mac bazlı doğrulama ile birtakım erişim yetkilerinin verildiği sistemlerde kimlerin bu güvenlik prosedurunu ihlal etmeye çalıştığının tespitini yapabilirsiniz.


  • Donanım Değişikliklerinin Takibi: Sunucu ve istemci bilgisayarlarına ait donanım değişikliklerini realtime tespit edebilirsiniz. Ram, Cpu, Disk, ekran Kartı  v.b. donanımlar bu kapsama girmektedir.

image010



  • Kullanıcı Logon Haritası: Kullanıcı oturumlarının takibi sağlanır. Hangi kullanıcı birden fazla sunucu veya istemcide oturum açtığının takibi yapılır. Böylelikle kullanıcı şifre paylaşımları veya yetkisiz erişimler tespit edilir.

image011



  • Dosya Paylaşımlarının Takip Edilmesi: Hangi bilgisayar üzerinde, hangi klasor, kim tarafından paylaşıma açıldı veya açık olan bir paylaşım kim tarafından kapatıldı gibi log kayıtlarını alabilirsiniz.


  • Kullanılabilir Disk Alanları Tespit Edilmesi: İş sürekliliğ açısından sistem disklerinde kullanılabilir alanın azalması durumunun  tespit edilmesi ve realtime uyarı vermesi sağlanır.


  • TCP Bağlantı Sayısının İzlenmesi: Tüm sunucu ve istemcilrin ağ trafik durumları takip edilir ve Tcp bağlantı sayısının realtime izlenerek oluşabilecek bir worm yayılmasının tespit edilmesi sağlanır.

image012



  • TCP/UDP Port Takibi: Uygulamaların kullandığı tcp/udp portları realtime izlenir. Örneğin tcp 80 ve 443 portunu Internet Explorer dışında kullanılması durumunda tunnel bağlantı girişimi şeklinde uyarı verilebilir.

image013



  • Yazıcı Çıktılarının Takip Edilmesi: Firma çalışanlarına tahsis edilen yazıcılardan hangi çıktıların alındığının loglanması ve arşivlenmesi sağlanır. ayrıca içerisinde şifre, müşterino geçen çıktıları kimler aldı gibi realtime uyarı veya  rapor çıkarılabilir.


  • WorkGroup Bilgisayarların Tespit Edilmesi: Active Directory altyapınızda domain üyesi olmayan bilgisayarların tespit edilmesi sağlanır.


  • Kablosuz Ağ Erişimlerinin Takip Edilmesi: Kimlerin hangi kablosuz ağlara bağlandığının tespit edilmesi sağlanır. böylelikle firmanıza ait olmayan illegal ssid bağlantılarını yerinde ve zamanında tespit etme şansınız olur.


  • Yetkisiz DHCP Sunucu Tespit Edilmesi: İllegal ip dağıtımlarını tespit edebilirsiniz. Kullanıcılarınızdan herhangi biri bilgisayarına kurmuş olduğu sanal bir makinede dhcp servisini aktif etmiş olabilir ve yeni gelen ip isteklerine sizin belirlediğiniz dhcp sunucu  dışında başka  bir  sunucunun ip verdiği tespit edilebilir.


  • Lisans Kontrolleri: İstemci ve sunucularda yer alan işletim sistemi veya diğer uygulamalara ait lisans kontrollerini yapabilirsiniz.

image014



  • Web server Logları (IIS6/7): Web sunucunuz üzerinde yer alan IIS loglarını alınarak kaynak ip, erişilen url v.b. log kayıtlarına ulaşabilirsiniz.

image015



  • Session Recorder : İstemci ve sunucularda oturum takibi (Video  formatında Ekran kaydı) yapılmasını sağlayabilirsiniz. Belirlediğiniz kriterler gerçekleştiğinde ilgili oturuma ait ekran kaydı yapılabilir. Örneğin kaynak ip adresi 192.168.1.5 olan ve 192.168.1.3 ip adresli sunucuya logon olunduğunda ekran kaydını başlat diyebilirsiniz.


  • Envanter Takibi: Sunucu ve istemcilerde toplam kaç adet Pentium 4, kaç adet 1 gb ram veya  toplamda kaç adet 80 gb disk var v.b. donanım envanteri çıkarabilirsiniz.


  • Mesai Saati Dışı Logon İşlemleri: Mesai saati  dışında kimler sisteme bağlandı, hangi sunucu veya istemcide kimler  oturum açtı gibi loglara erişebilirsiniz.


  • Grup Bazlı Politika: Log kaynaklarınızı farklı dinamik gruplar altında toplayabilir ve her bir grup için farklı politikalar uygulayabilirsiniz.

image016



  • SSL Vpn Erişimlerinin Loglanması: Uzak erişim yetkisi verilen kullanıcıların vpn erişimleri esnasında ne yaptıklarının loglanması sağlanır. Video veya text log olarak bu aktivitelere ulaşmanız mümkün.


  • Yazılım Envanteri : Sunuc ve istemcilerde kurulu bulunan yazılımların neler olduğunu raporlayabilir, illegal yazılımları tespit edebilirsiniz.

image017



  • Sniffer Program Tespit Edilmesi: Sniffer  programları ile ağ trafiğini dinleyenler tespit edilir.

image018


5651 ve Diğer Standartlara Uyumluluk:


 


5651 sayılı yasa gereği



  • Dhcp loglarının alınması

  • Web aktivite kayıtları

Sox, Cobit, iso 27001 ve diğerleri



  • Kullanıcı oturum açma işlemleri

  • Nesne erişim olayları

  • Kullanıcı ve grup yaratma işlemleri v.b.

Faydalar: İnfraskope log yönetimi ürünü ile birlikte gelen kazanımlar şu şekildedir;



  • Güvenlik standartlarına ve ilgili yasalara uyumluluk (5651, sox, cobit v.b.)

  • Kurumsal politikaların daha etkili kullanılması

  • Kurumsal kurallara aykırı davrananların tespiti

  • Toplam sahip olma maliyetinin azaltılması

İnfraskope Referans Tablosu: İnfraskope ürünü işletim sistemlerinin oluşturduğu event id v.b. referans tablolarının dışında kendi olay numaralarını oluşturmuştur. İnfraskope ürününe ait olay kayıt numaraları ve açıklamaları şu şekildedir;


image019


image020


image021


image022


image023


image024


image025


Uyarı Mekanizmaları: İnfraskope çözümü  belirlenen kriterlere uygun log kaydının oluşması ile birlikte bir takım uyarı mekanizmaları  sunmaktadır. aşağıda yer alan resimde bu uyarı mekanizmalarının nasıl  oluşturulacağı ile ilgili örnek bir ekran görüntüsü yer almaktadır.


image026


image027


Bunlar şu şekildedir;


Dashboard: Realtime izleme ekranı imkanı sağlar. Bütün toplanan loglar ile ilgili ön bilgi verir.


image028


Mail: Kriterlere uygun log kaydının oluşması akabinde ilgili kişiye mail gönderimi sağlanır.


image029


Sms: Kriterlere uygun log kaydının oluşması akabinde ilgili kişiye sms gönderimi sağlanır.


image030


Popup: Kriterlere uygun log kaydının oluşması akabinde yönetim konsolu üzerinde popup uyarı mesajının çıkması sağlanır.


Script çalıştırma: Kriterlere uygun log kaydının oluşması akabinde istediğimiz herhangibir script’in çalıştırılması sağlanır.


Wireless ve Vpn OTP Entegrasyonu: Uzak erişim (Vpn) ve kablosuz erişimlerde kullanımş olduğunuz kimlik doğrulama ekranlarına ek olarak kullanıcılarınıza veya internet erişim hizmeti verdiğiniz misafirlerinize daha  güvenli bir erişim imkanı sağlayabilirsiniz. TC kimlik, pop3 account ve cep telefonu numarası ile kimlik doğrulama yapabilirsiniz.


Rapor Ekranları: Toplanan logların aylık, haftalık ilgili kişilere pdf v.b. formatta rapor gönderimi sağlanır.


image031


image032


Lisanslama Politikası: İnfraskope çözümünde kalıcı lisanslama kullanılmaktadır. Yani her yıl düzenli ödenmesi gereken bir ücret yoktur. Eps (Event Per Second) değerine  göre lisanslama yapılmadığı  gibi kurulumu yapılan sunucu performansına bağlı olarak aynı yazılım ile 100.000 EPS değerine ulaşabilirsiniz. 

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu