SECURITY

Gdzie kończy się Log Management a gdzie zaczyna analiza bezpieczeństwa nie jest łatwo stwierdzić. Energy Logserver będzie gromadził dane o:

  • 100% logach IT
  • Ruchu sieciowym na podstawie Netflow, sFlow itp.
  • Bezpieczeństwie pracy sieci np. poprzez współpracę z Flowmon ADS
  • Wydajności infrastruktury odczytując dane z systemów monitoringu takich jak op5 Monitor
  • Dane z usług microservices
  • Platformach chmurowych OpenStack, Azure, Vm, CPE

Wiemy wszystko co ma miejsce w infrastrukturze IT!

Wykorzystując metody Alarmowe możemy łatwo reagować na sytuacje będące dla nas zagrożeniem bezpieczeństwa lub wydajności.

Detekcja łamania haseł, instalacja nowego oprogramowania, nadmierna utylizacja portów, błędy w logach aplikacyjnych co coś zupełnie innego niż prosta centralizacja logów. Sposobów reagowania na zmianę w logach jest wiele, związane jest to z możliwością naszego Alerts. Spójrzmy na jego możliwości:

Reguła:

  • Any – detekcja dowolnej treści w logach. Przykład: wystąpienie wskazanych EventID, błędów w logach aplikacyjnych.
  • Blacklist – detekcja wystąpienia wartości pola na wskazanej liście. Przykład: korelacja list adresów IP o złej reputacji
  • Whiltelist – detekcja nie występowania wartości pola na wskazanej liście. Przykład: korelacja adresów dopuszczonych typu allowed_hosts
  • Change – detekcja zmiany jednego z dwóch pól. Przykład: przejęcie sesji użytkownika, gdzie pole id_sesji pozostało a mieniła się wartość username
  • Frequency – detekcja zdarzeń występujących z odpowiednią częstotliwością. Przykład: powracające łamanie haseł, skanowanie sieciowe
  • Spike – detekcja zdarzeń których liczba zmienia się w wskazany sposób względem czasu poprzedniego. Nie wskazujemy tu konkretnej liczby, a określamy poziom odniesienia. Przykład: lawiony wzrost liczby procesów, nagły wzrost liczby błędów aplikacyjnych
  • Flatline – detekcja zaniku dokumentów. Przykład: brak danych od aplikacji, degradacja wydajności
  • New Term – detekcja nowej wartości pola w zadanym okresie czasu. Przykład: podmiana plików indeksowanych poprzez MD5, instalacja nowej aplikacji w infrastrukturze, detekcja nowego ruchu sieciowego, nowa sygnatura antywirusa
  • Cardinality – detekcja liczby unikalnych wystąpień dla wskazanego pola względem progu. Przykład: agregacja wyników analizy ruchu sieciowego, detekcja liczby unikalnych peerów dla incydentów
  • Metric aggregation – detekcja przekroczenia wartości których wynik pochodzi z operacji matematycznych. Przykład: przekroczenie wartości pól, przekroczenie czasów odpowiedzi aplikacji
  • Percentage match – detekcja naruszenia progu procentowego dla wskazanego pola

Przykładów wykorzystania jest bardzo wiele, my dostarczamy efektywne metody detekcji. Czy Energy Logserver to system SIEM? Odpowiedź pozostawimy użytkownikom.