Post on 08-Jun-2015
description
Naplózás a Naplózás a gyakorlatbangyakorlatban
Szabó LászlóSzabó László
BalaBit – szabo.laszlo@balabit.huBalaBit – szabo.laszlo@balabit.hu
Naplózás a gyakorlatbanNaplózás a gyakorlatban
2
3
Naplózás a gyakorlatbanNaplózás a gyakorlatban
3
4
Naplózás a gyakorlatbanNaplózás a gyakorlatban
4
5
Naplózás a gyakorlatbanNaplózás a gyakorlatban
5
6
Naplózás a gyakorlatbanNaplózás a gyakorlatban
6
Az előkészületek:Az előkészületek:
IgényfelmérésIgényfelmérés
Scope meghatározásScope meghatározás
Naplózási koncepció elkészítéseNaplózási koncepció elkészítése
ElőszűrésElőszűrés
Tesztelés/Pilot (Proof of Concept)Tesztelés/Pilot (Proof of Concept)
ImplementációImplementáció
KiterjesztésKiterjesztés
ÜzemeltetésÜzemeltetés
7
Naplózás a gyakorlatbanNaplózás a gyakorlatban
7
Naplózás a gyakorlatbanNaplózás a gyakorlatbanNaplózás a gyakorlatbanNaplózás a gyakorlatbanNaplózás a gyakorlatbanNaplózás a gyakorlatbanNaplózás a gyakorlatbanNaplózás a gyakorlatban
Naplómenedzsment vagy SIEM?Naplómenedzsment vagy SIEM?
8
Funkcionalitás Log Menedzsment (LM)
Security Information and Event Management (SIEM)
Log gyűjtés Minden napló gyűjtése Biztonsággal kapcsolatos logok (+ kiegészítő adatok, hálózati forgalom, riasztások, stb. ) gyűjtése
Log elő feldolgozás Indexelés, felolvasás vagy egyszerű tárolás
Felolvasás, normalizáció, osztályozás,
On-line log tárolás Nyers log állományok tárolása
Nyers logok és feldolgozott adatok tárolása
Riportolási funkciók
Széleskörű riportolási funkciók
Biztonsági fókuszú riportok
Elemzés Teljes szövegelemzés, cimkézés
Korreláció, fenyegetettségi besorolás, események priorizálása
Riasztások Egyszerű riasztások a log események alapján
Komplex, biztonsági fókuszú riasztások
Egyéb funkciók Jól skálázható gyűjtés és tárolás
Incidens menedzsment, elemzési munkafolyamatok, kontextus elemzés stb.
8
Naplózás a gyakorlatbanNaplózás a gyakorlatban
7th SANS Log Management Survey 20117th SANS Log Management Survey 2011
9
43+7y=8943+7y=89
747/571747/571
73% sec73% sec
36% network36% network
7% compl. off.7% compl. off.
Naplózás a gyakorlatbanNaplózás a gyakorlatban
9
7th SANS Log Management Survey 20117th SANS Log Management Survey 2011
1010
Naplózás a gyakorlatbanNaplózás a gyakorlatban
7th SANS Log Management Survey 20117th SANS Log Management Survey 2011
11
Naplózás a gyakorlatbanNaplózás a gyakorlatban
11
7th SANS Log Management Survey 20117th SANS Log Management Survey 2011
12
Naplózás a gyakorlatbanNaplózás a gyakorlatban
12
7th SANS Log Management Survey 2011 – 7th SANS Log Management Survey 2011 – KonklúziókKonklúziók
Folyamatosan szélesedő naplózási terület Folyamatosan szélesedő naplózási terület (Ipari automatizálási rendszerek, SCADA, (Ipari automatizálási rendszerek, SCADA, Mobil, Cloud)Mobil, Cloud)
A naplózás jelentősége megnőtt, a kiszolgáló A naplózás jelentősége megnőtt, a kiszolgáló infrastruktúra kritikussá váltinfrastruktúra kritikussá vált
Több, de pontosabb napló-információ Több, de pontosabb napló-információ szükséges szükséges
Még pontosabb elemző-képességekre van Még pontosabb elemző-képességekre van igényigény
13
Naplózás a gyakorlatbanNaplózás a gyakorlatban
13
TOP 7 Riport – Nem(csak) menedzsereknekTOP 7 Riport – Nem(csak) menedzsereknek
1. Authentikációs és Authorizációs Riportok 1. Authentikációs és Authorizációs Riportok
2. Változások riportjai2. Változások riportjai
3. Hálózati forgalmi riportok3. Hálózati forgalmi riportok
4. Erőforrások hozzáféréseinek riportjai4. Erőforrások hozzáféréseinek riportjai
5. Malware riportok5. Malware riportok
6. Figyelmeztetések és rendszerhibák6. Figyelmeztetések és rendszerhibák
7. Analitikus riportok – NBS (Never Before Seen)7. Analitikus riportok – NBS (Never Before Seen)
14
Naplózás a gyakorlatbanNaplózás a gyakorlatban
14
Esettanulmány – 1Esettanulmány – 1
15
Naplózás a gyakorlatbanNaplózás a gyakorlatban
15
Esettanulmány – 2Esettanulmány – 2
16
Naplózás a gyakorlatbanNaplózás a gyakorlatban
16
Esettanulmány – 3Esettanulmány – 3
17
Naplózás a gyakorlatbanNaplózás a gyakorlatban
17
A jövő? A jövő?
• Integrálódó ill. célzott, területenként specializált Integrálódó ill. célzott, területenként specializált megoldások megoldások
• Fejlettebb (egységes? :)) naplózási szabványokFejlettebb (egységes? :)) naplózási szabványok
• Megbízhatóbb naplógyűjtésMegbízhatóbb naplógyűjtés
• Felhasználói ill. rendszer-viselkedési minták Felhasználói ill. rendszer-viselkedési minták automatikus felismerése és riasztásaautomatikus felismerése és riasztása
• Mesterséges Intelligencia alapú döntéselőkészítésMesterséges Intelligencia alapú döntéselőkészítés
18
Naplózás a gyakorlatbanNaplózás a gyakorlatban
18
Köszönöm a figyelmet!Köszönöm a figyelmet!
19
Naplózás a gyakorlatbanNaplózás a gyakorlatban