SureLog - Anet Yazılım

SureLog
Log Yönetimi & SIEM
Anet Yazılım
SURELOG
SureLog güvenlik analizi, korelasyon ve veri analizi özellikle trafik ve güvenlik raporları için veri analizi yapabilen bir
platformdur.
SureLog Log Yönetimi & SIEM ürünümüz tamamen yeniden tasarlandı. Yeni özelikler
1. Görsel grafik analiz platformu
2. Desteklediği sistemler:
3Com
Airlive
Anchiva
Apache
Applied Identity
ARKOON Network
Security
Astaro
Aventail
AWStats
Barracuda
BlueCoat
Check Point
Cimcor
Cisco Systems
Clavister
CyberGuard
Cyberoam
Dansguardian
D-Link
DP Firewalls
Drytek
Drytek DNS
Electronic Consultants
Lenovo Security
Technologies
Linux
Linux DHCP
Linux DNS
Lucent
Fortinet
Fortimail
Fortinet DHCP
FreeBSD
Funkwerk Enterprise
Communications
Gateprotect
Global Technologies
Ingate
Inktomi
IPCop
Ironport
Juniper Networks
Juniper Networks DHCP
Kerio
Palo Alto
Pfsense
Pfsense DHCP
Postfix
Recourse Technologies
McAfee UTM
McAffe MailGateway
Metatrader
Microsoft ISA&TMG
Microsoft Windows
Event Log
Microsoft DHCP
Microsoft Windows DNS
Microsoft Exchange
Microsoft IIS
Microsoft IIS SMTP
NetApp
NetASQ
NetFilter
Netopia
Network-1
Opzoon
Oracle
Ruijie
Securepoint
Snort
SonicWALL
SonicWALL DHCP
Squid Project
St. Bernard Software
Stonesoft
Sun Microsystems
Trendmicro Web Filter
Unix
Untangle
Vmware
Vyatta
WatchGuard
Websense
Websense Mail
Gateway
Zimbra
Zywall
3. Trafik Raporları.
4. Kişiselleştirilebilir sistem ara yüzü: menüleri ve raporları.
5. Compliance raporları. ISO 27001, SOX, HIPAA, PCI, GLBA rapor şablonlarını destekler.
6. Dinamik raporlar oluşturma ve zamanlanmış raporlar isteğe bağlı tasarlanabilir.
7. Toplam sayfa sayısı, toplam kayıt sayısı, sorgulama süresi gibi parametreleri kullanıcıya
raporlayabilen istatistik modülü
8. Google benzeri arama motoru.
9. Performans ve Protokol Analizi Modülü

Traffic Reports

Protocol Usage Reports

Web Usage Reports

Mail Usage Reports

FTP Usage Reports

Telnet Usage Reports

Streaming & Chat Reports

Event Summary Reports

VPN Reports

Firewall Rules Reports

Inbound & Outbound Traffic

Intranet Reports

Internet Reports

Virus Reports

Attack Reports

Spam Reports

Protocol Trend Reports

Traffic Trend Reports

Event Trend Reports

URL Report
10. Detaylı Compliance Raporları:
ISO 27001, SOX, HIPAA, PCI, GLBA hazır rapor şablonları ile kolay raporlama yapabilirsiniz
Örnek ISO 27001:2013 Rapor Şablonları:
Object Access :
System Events :
Controls A 12.4.1,12.4.2
Control A 12.4.2





Object
Object
Object
Object
Object
Accessed
Created
Modified
Deleted
Handle


System Logs
Audit Logs Cleared
User Access :
Controls A.12.4.1,12.4.3,A 9.4.2,9.2.1
Logon :
Control A 12.4.3


Successful User Logons
Successful User Logoffs

Individual User Action
Account Management :


Unsuccessful User Logons
Terminal Service Session
Policy Changes :
Controls A 12.4.1,12.4.2,12.4.3 & 9.2.5



Controls A.12.4.1,12.4.3,A 9.4.2,9.2.1



User Account Changes
Computer Account Changes
User Group Changes
User Policy Changes
Domain Policy Changes
Audit Policy Changes
11. Windows Event Log Raporları :
SURELOG İSTATİSTİK ANALİZ VE RAPORLAMA MODÜLÜ
SureLog ürünü istatistik analizi modülü ile; Trafik, Güvenlik ve Protokol analizi ve raporlamasını çok
etkin bir şekilde yapmaktadır.
Örnek Şablonlar

Traffic Reports

Security Reports

Protocol Usage
Reports

Virus Reports

Attack Reports

Spam Reports

Protocol Trend
Reports

Intranet Reports

Internet Reports

Web Usage
Reports

Mail Usage
Reports

FTP Usage
Reports

Telnet Usage
Reports

Event Summary
Reports

Streaming &
Chat Reports

VPN Reports
Örnek Raporlar:
Atak Raporları:

Traffic Trend
Reports

Event Trend
Reports

URL Report

Firewall Rules
Reports

Inbound &
Outbound
Traffic
En çok log üreten makineler:
Günü en çok trafik oluşan saatleri:
En çok Trafik Üretilen Makineler:
Streaming&Chat Raporları:
En çok bloklanan siteler
En çok ziyaret edilen siteler:
En çok ziyaret edilen kategoriler:
En çok bloklanan kategoriler:
Firewallda en çok kullanılan kurallar:
En çok VPN yapan kullanıcılar:
En çok VPN yapan kullanıcılar ve süreleri:
Günün en çok VPN yapılan saatleri ve trafik:
Korelasyon
Bağımsız iki olay arasındaki ilişkinin yönünü ve gücünü belirtir. İki olay birbiri ile ne kadar alakalı /
alakasız
Toplanan kayıtların belli senaryolar eşliğinde incelenmesi, birbirini tamamlayan veya birbirine katkı
sağlayan olay kayıtlarının arasında bir ilişki kurulmasıdır. Saldırı senaryolarının oluşturulması gereklidir.
Saldırının son safhasına kadar yol üzerinde kayıt üretmesi beklenen sistem bileşenleri belirlenip olaylar
mantıksal olarak ilişkilendirilmelidir.
Olay yönetimi günümüz dünyasında iş yapmanın getirdiği yüksek seviye risklerin yönetilebilmesi için
gerekli olan depolama, gerçek zamanlı gözleme, tarihsel analiz ve otomatik cevap gibi mekanizmaları
gerektirmektedir. SURELOG gerçek zamanlı olay yönetimini SURELOG korelasyon modülü ile sizlere
sağlıyor.
SURELOG’nın gelişmiş gerçek zamanlı korelasyon kabiliyeti, herhangi bir olay için bu olayla ilgili olarak
kim, ne, nerede, ne zaman, neden sorularının ilgisini ve riskler üstündeki etkisinin ortaya çıkmasını sağlar.
SureLog yeni kural motoru ve CEP motoru ile gücüne güçkatıyor!!!
ANET Yazılım Güvenlik Analizi ve Log Yönetimi ürünü SureLogya kural motoru ekledi. Kural motoru
JSR94 Rule Engine API destekleyen uluslararası standartlarda bir motordur.
Kural Dili
Zaman ile değişebilecek ihtiyaçlara cevap verir. Her zaman ne yapılacağını söyler, nasıl yapılacağını değil.
Kural Mimarisi
SureLogçalışmaya başladığında SureLogkural motoru üzerindeki kurallar "Production Memory"'ye
aktarılır. "Working Memory" üzerinde bulunan sistem nesneleri (unsurlar) da "Pattern Matcher"'a aktarılır.
Burada hangi kuralın çalışacağı belirlenir. Çalışacak kurallar belirlendikten sonra "Agenda" ile kuralların
çalışma sırası belirlenir.
SureLogmevcut alarm yönetimi özellikleri kullanıcıya hazır şablonlar sunuyordu zaten. Mevcut alarm
şablonları:









































A Process has Exited [Windows]
Account Database Change [Windows]
Active Directory is started [Windows]
Active Directory is stopped [Windows]
An ISA Service failed to start [Windows]
Application installed successfully [Windows]
Application uninstalled [Windows]
Audit Logs Cleared [Windows]
Audit Policy Changed [Windows]
Bad Disk sector detected [Windows]
Cache initialization fail for ISA [Windows]
Chasis Intrusion [Windows]
Computer Account Changed [Windows]
Computer Account Created [Windows]
Computer Account Deleted [Windows]
Disk restriction in place for ISA Server [Windows]
DNS Server Started [Windows]
DNS Server Stopped [Windows]
DNS Server timed out [Windows]
DNS Server updated [Windows]
DNS Zone shutdown [Windows]
Domain Policy Change [Windows]
EventLog Service Stopped [Windows]
Failed Logins [Unix]
Insufficient Memory Available [Windows]
Memory Dump saved [Windows]
Network Adapter Connected [Windows]
Network Adapter Disconnected [Windows]
New Process Created [Windows]
Norman Antivirus found infected file [Windows]
NTDS database engine is started [Windows]
NTDS database engine is Stopped [Windows]
NTDS defragmentation is complete [Windows]
NTDS defragmentation is started [Windows]
Object Deletion Failure [Windows]
OS is shutting down [Windows]
OS is starting up [Windows]
Printer Added [Windows]
Printer Created [Windows]
Replacing System file attempted [Windows]
Starting File Replication Service [Windows]











Successful CRON Jobs [Unix]
Successful FTP Log-offs [Unix]
Successful FTP Log-ons [Unix]
Successful Password Resets [Windows]
Successful User Log-ons [Unix]
Successful User Logoffs [Windows]
Successful User Logons [Windows]
System Resources Exhausted [Windows]
Unsuccessful Login Attempts [Windows]
User Account Disabled [Windows]
Windows install operation [Windows]
Yukarıdaki hazır şablonlar dışında ayrıca kullanıcıya kelime bazlı alarmlar oluşturma imkanı sunulmakta
idi. Bu yeni kural motoru ile hem korelasyon kuralları hem alarmlar oluşturabilmek için yeni ve daha esnek
ve güçlü bir altyapı sunuluyor. Kullanıcının yapabilirliklerinin önündeki sınırlar tamamen kaldırılmış
oluyor.Mesela
a)
b)
c)
d)
e)
Kullanıcı normalize edilmiş logları istediği yere kopyalayabilir,taşıyabilir,silebilir vs..
Karmaşık alarmlar oluşturabilir.
Loglar arasında korelasyon oluşturabilir.
Gelen loga göre yeni kayıtlar oluşturabilir
Vs…
SURELOGKorelasyon modülü özellikleri:










Script ve JAVA dillerini desteklemektedir
JSR94
Çok esnek kural oluşturma yapısı
Rule Base
Complex Event Processing(CEP)
Forward Chaning
Backward Chaining
Kural oluşturma ve kural yazma yöntemleri uluslararası formatlarda olup yazım kuralları ve
kural geliştirme yöntemleri uluslararası standartlardır.Dolayısı ile hem destek hem de öğrenilen
bilginin global olması noktasında da avantaj sunur.
Tamamen ulaslararası standartlarda bir kural Veritabanı
JAVA API
Kural Örnekleri


1 dakika içerisinde aynı kaynaktan 15 den fazla deny/reject/drop olursa uyar
5 dakika içerisinde aynı kaynaktan 3 den fazla IPS logu gelirse uyar















5 dakika içerisinde aynı kaynaktan 3 den fazla Virus logu gelirse uyar
1 dakika içerisinde aynı kaynaktan farklı 50 veya daha fazla farklı ip ye trafik olursa uyar
Yeni bir kullanıcı oluşturulur ve bu oluşturulan kullanıcı ile erişim yapılmaya çalışılıp başarısız olunursa uyar
Aynı kullanıcıdan 3 den fazla başarısız erişim olup sonrasında başarılı erişim olursa bu brüte force atack
olasılığıdır ve uyar
Administrators grubuna kullanıcı eklenirse uyar
Aynı kullanıcı ile 1 dakikada 5 den fazla başarısız erişim olursa uyar(Kullanıcı bilgileri ile birlikte)
Aynı kullanıcı 60 dakikada 50 den fazla sistemlere login olursa uyar(Kullanıcı bilgileri ile birlikte)
Aynı kaynak IP den 3 veya daha fazla başarısız erişim ve hemen ardından başarılı erişim olursa uyar.
Web sunucuya cgi, asp, aspx, jar, php, exe, com, cmd, sh, bat dosyaları uzak lokasyondna işletilmek üzere
gönderilirse uyar
İstenmeyen uygulamalar (Teamviewer, LogmeIn, Nmap, Nessus) çalıştırıldığında uyar
Spam yapan kullanıcıyı tepit et.(saatte 60 den fazla mail gönderen kullanıcıyı tespit et)
Spam yapılan kullanıcıyı tepit et.(saatte 25 den fazla mail alan kullanıcıyı tespit et)
Gözetlenen log kaynağı son 1 saat içerisinde log göndermezse uyar
Mesai saatleri dışında sunuculara ulaşan olursa uyar
W32.Blaster Worm: Eğer 1 dakika içerisinde 10 adet deny veya kullanıcı adı olmayan başarılı login loğu
gelirse uyar
Genişletilmiş Kurallar ve Senaryolar Örnekleri
Hedef:445 nolu port ataklarını tespit etmek
•
Gereksiz yanlış atak loglarından kurtulmak isteniyor
• 5 dakikalık sürede an az 1 düzine atak logu gelmesini isteniyor
• 1 saatlik periyodda en az 100 atak logu
• 4 saatlik bir periyodda 200 atak logu isteniyor
Kural:
Hedef:Windows makinelere brute force login ataklarının tespit etmek


60 Saniye boyunca Windows makinelere login denemesi yapılmış ve fail etmiş iplerin listesinin
bulunması ve
Bu kuralda firewall ve/veya gateway den gelen trafik logları ile Windows event loglarının
korelasyonunun yapılması isteniyor.
Hedef: Ağdaki kötü niyetli yazılımlarının tespiti.
– Bilinen: yazılım insandan çok daha hızlı parola denemesi gerçekleştirir
– Senaryo:
• Kimlik doğrulama denemesi saniyede 1 den fazla gerçekleşiyorsa (1)
• (1) durumu art arda 5 defa gerçekleşiyorsa
• Bilgilendir/ müdahale et
– Tek kaynaktan alınan kayıtların sayısı ve gerçekleşme zamanı ilişkilendirilmiştir.
Hedef: Veri tabanına varsayılan kullanıcı isimleri ile giriş denemelerin tespiti.
– Saldırgan internetten kurumsal IP uzayında tarama yaparsa (1)
• IDS veya güvenlik duvarından alınan kayıtlar
– (1) i gerçekleştiren açık portları kullanarak güvenlik duvarından geçerse
• Güvenlik duvarından alınan ACCEPT kaydı
– (1) i gerçekleştiren veritabanına belli kullanıcı isimleri ile giriş yapmaya
çalışırsa
• Veri tabanından alınan LOGON ATTEMPT kaydı
– Bilgilendir/ müdahale et
• Birden fazla kaynaktan alınan kayıtlarda aktör,eylem ve zaman bilgileri ilişkilendirilmiştir
İletişim Bilgileri
Doğu Mah. Bilge sok. No=2
Kat= 5 Daire= 4
Pendik/İstanbul
Tel : 0216 3540580
0216 3540581
Fax : 0216 3540580
info@anetyazilim.com
info@anetyazilim.com.tr
www.anetyazilim.com
www.anetyazilim.com.tr