ANET Bonasus Plus

2011

Ertuğrul AKBAS
[ANET YAZILIM]
09.04.2011
Bonasus Plus

Bonasus Plus İşlevleri:

•Log Yönetimi
•5651 ve Diğer Standartlara Uyumluluk:
•Sox, Cobit, HIPAA, GLBA, ISO 27001 ve diğerleri
•Güvenlik standartlarına ve ilgili yasalara uyumluluk
•Kurumsal politikaların daha etkili kullanılması
•Kurumsal kurallara aykırı davrananların tespiti
•Toplam sahip olma maliyetinin azaltılması
Bonasus Plus

Log Yönetiminin Önemi ve Bonasus Plus

Son zamanlarda birçok şirket sistemlere yapmış oldukları yatırımlardan daha cok verim alabilmek icin
Log Yonetimi üzerine yogunlaşmiş durumdadırlar ve bu şirketlerdeki IT departmanları da Log Yonetimi
sayesinde verimliliği arttırmaktadırlar.

Son zamanlarda birçok şirket sistemlere yapmış oldukları yatırımlardan daha cok verim alabilmek icin
Log Yonetimi üzerine yogunlaşmiş durumdadırlar ve bu şirketlerdeki IT departmanları da Log Yonetimi
sayesinde verimliliği arttırmaktadırlar.

Son zamanlarda kanunlar da Log Yonetimi konusuna onem vermektedirler. Log Yonetimi ornegin PCI
denetimi sirasindaki yukumluluklerin karsilanmasi konusunda gereklidir. Sorumlu olduklari denetimler
icin Log Yonetimi yapan sirketler bu loglar sayesinde sistemlerinde farkinda olmadiklari
bir cok sorunu da tespit etmektedirler.

Yonetim seviyesinde duyarliligin artmasina faydali olan Log Yonetimi sayesinde sirketler daha verimli
ve saglikli bir ag yapisina sahip olurlar.Sonuc olarak Log Yonetimi sistemlerin cokmesine sebebiyet
veren sorunlarin evvelden tespit edilerek sistemlerin daha guvenli calismasina ve sistemlerin daha az
cokmesini firsat verir.

Referans
SANS Log Survey Raporları
Bonasus Plus- Bilgi Güvenliği

•Bilgi güvenliği ihlalleri ve vakaları

arttıkça log yönetiminin önemi ve
gerekliliği daha iyi anlaşılmaktadır.

•ISO 27001, Bilgi Güvenliği(BG)

Yönetim Standardında log(iz kaydı)
yönetimin önemi vurgulanmaktadır.

•COBIT, ISO-27001 ve PCI log

yönetimine özel vurgu yapmaktadır
Bonasus Plus- Bilgi Güvenliği

Büyük ölçekli şirketlerin 2009 yılı güvenlik bütçesindeki en

büyük payın loglama sistemlerine ait olduğu bilgisi log
yönetiminin gittikçe artan önemini kanıtlar niteliktedir.
Bonasus Plus- Bilgi Güvenliği

kullanıcılar ve
sistemler için
Politika Belirle
ve Uygula

Güvenli BT
Saldırılara ve ihlallere Altyapısı kullanıcılar ve
karşı sistemler için
Proaktif Koruma Merkezi Erişim Denetimi
Komuta
ve
Kontrol

Belirlenen Sıradışı durumları

saldırıları ve
Yanıtla ve saldırıları
Çöz
Tespit Et
Temel Log Yönetimi Aktiviteleri

• Üretim
• Toplama
• Depolama
• Raporlama
• İlişkilendirme
• Özetleme
• Alarm üretimi
• Arşivleme
Bonasus Plus
Bonasus Plus
 Teknik Özellikleri:

•Dağıtık mimariye sahip

•Herhangi bir etmen(agent) kurulumu gerektirmez. Ürün herhangi bir
ajan/etmen ihtiyacı olmadan Windows event loglarını toplar
•Platform Bağımsız .
•Motor (Engine)Java ve Arayüz PHP
•WEB Tabanlı
•Çok Kullanıcılı
•Yetki Tabanlı Kullanıcılar
•Sistem Auto Control
•Sistem log kaynaklarından log toplamada yada gelen logların EPS
değerlerinde değişiklik olması durumunu algılayıp uyarabilir
•Tanınmayan logları algılayıp uyarabilme
 Teknik Özellikleri:

•Güvenlik ve Network Cihazları ile AD entegrasyonu sağlar

•Firewall loglarını Kullanıcı Adı ve Bilgisayar adı ile birlikte görüntüleyip

rapor oluşturabilir ve filtreleyebilir
•Gelişmiş Korelasyon Yeteneği
Olaylar ile ilgili log toplama, ilişkilendirme, normalleştirme ve
sınıflandırma işlemlerini yapabilir
Olay tipleri hızlıca ortak değerlere göre sınıflandırılabilir tamamen
farklı kaynaklardan gelen bilgilerde ilişkilendirme yapılabilmelidir.
(Örn: Farklı üreticilerin saldırı tespit sistemlerinden ve güvenlik
duvarlarından gelecek olan port taraması, tek bir port taraması olarak
değerlendirip, sınıflandırılabilir)
 Teknoloji:

•Uzun seneler yapılan AR-GE ile oluşturulan bilgi birikimi:

•Ertuğrul Akbaş, Yerel Alan Ağlarında Paket Analizi ile Güvenlik Taraması, ",
Ağ ve Bilgi Güvenliği Ulusal Sempozyumu, Mayıs,2008, Girne, KKTC.

•Ertuğrul Akbaş "Topolojik Bağımlı Otomatik Sistem Güvenliği Tarama

Yöntemi", ISC'07 Bilgi Güvenliği ve Kriptoloji Konferansı, 13-14
Aralık,2007, Ankara, Turkiye.

•Ertuğrul Akbaş , Hata Yönetimi için Zeki Keşif ve Topoloji Oluşturma

Yöntemi ", Ağ ve Bilgi Güvenliği Ulusal Sempozyumu, pp 157-163, 9-11
Haziran,2005, Istanbul, Turkiye.

•Ertuğrul Akbaş, Topolojik Bağımlı Otomatik Sistem Güvenliği Tarama

Yöntemi, http://www.olympos.org
 Teknoloji:

•AR-GE
•E. Akbas, "System Independent And Distributed Fault Management System",
The Eighth IEEE Symposium on Computers and Communications,30 June-3
July 2003, Antalya, Turkey.

•E. Akbas, "Web Based Management: A Novel Architecture ", The Sixteenth
International Symposium on Computer and Information Sciences (ISCIS
XVI), October, 29-31, 2001, Antalya, Turkey

•E. Akbas, E. Murat Esin, "SEAMLESS INTEGRATION OF NETWORK

MANAGEMEN PROTOCOL WITH DISTRIBUTED CONTROL", The
IJISIP Proceedings (ISSN: 1304-2386), Volume: 1, Number :1, July 2003,
International XII. Turkish Symposium of Artificial Intelligence and Neural
Networks (TAINN' 2003).
 Teknoloji:

•AR-GE
•H. Gümüskaya, T. Dursun, E. Akbas, O. Davulcu, "A CORBA and Java
Mobile Agent Based Network Management Architectures", International
Symposium on Computer and Information Sciences XIV (ISCIS'14), pp. 975-
982, October 18-20, 1999, Kusadasi, Izmir.

•H. Gümüskaya, E. Akbas, T. Dursun, O. Davulcu, "Utilization of CORBA,

Mobile Agents, Java, and Web Technologies for Network Management",
Reginal Conference on Millitary Communication and Information Systems
'99, October 6-8 , 1999, Zegrze, Poland.
 Teknoloji:

•AR-GE
•Ertuğrul Akbaş, Topolojik Bağımlı Otomatik Sistem Güvenliği Tarama
Yöntemi, http://www.olympos.org

•Ertuğrul Akbaş , Bilgi Güvenliği, http://www.olympos.org

•Ertuğrul Akbaş, Yerel Alan Ağlarında Paket Analizi ile Güvenlik Taraması,
http://www.olympos.org

•E. Akbas, C. Ersoy, "Multi Constarint Path Finder Algorithm", The Fifteenth
International Symposium on Computer and Information Sciences ( ISCIS
XV), October, 11-13, 2000, ISTANBUL, Turkey .
•
•H. Gümüskaya, T. Dursun, E. Akbas, O. Davulcu, "A CORBA and Java
Mobile Agent Based Network Management Architectures", International
Symposium on Computer and Information Sciences XIV (ISCIS'14), pp. 975-
982, October 18-20, 1999, Kusadasi, Izmir.
•
Log Kaynakları?

•İşletim Sistemleri:
•Windows XP/Vista/7
•Windows Server 2000/2003/2008/R2
•Unix/Linux Türevleri
•Nas Cihazları (NetApp)
•Uygulamalar:
•Dhcp
•IIS 6/7/7.5 (W3C)
•Apache (Syslog)
•Text-Based Log (Csv/Tsv/W3C/Txt/Custom )
•Dansguardain
•Postfix
Log Kaynakları?

•Firewall / Proxy:
•Kerio •Anchiva
•ISA/TMG Server
•Lucent •Applied Identity
•BlueCoat
•McAfee-Secure •ARKOON
•3Com
Computing •Aventail
•Astaro
•NetApp •AWStats
•CheckPoint
•NetFilter •Cimcor
•Cisco Systems
•Snort •DP Firewalls
•Clavister
•SonicWALL •Electronic Consultants
•CyberGuard
•Netopia •Global Technologies
•D-Link
•Network-1 •Ingate
•Fortinet
•St. Bernard Software •Inktomi
•FreeBSD
•Sun Microsystems •Lenovo Security
•IPCop
•WatchGuard Technologies
•Juniper
•Zywall •NetASQ
•Drytek
Log Kaynakları?

•Network Cihazları:
•Syslog Gönderen Cihazlar
•SNMP Trap Gönderen Cihazlar
•Email:
•Exchange 2003
•Exchange 2007
•Exchange 2010
•IIS SMTP
•SendMail/Qmail ve Bezeri *nix Tabanlı Sistemler
•Veritabanları
•Oracle
•MSSQL (*)
Mimari?

•Motor (Engine): Logları Toplayıp verileri veritabanına

kaydeder ve önceden tanımlı otomatik faaliyetleri yerine getirir

•Yönetim Konsolu: WEB Tabanlı Kullanıcı grafik arayüzü ile

veritabanına ve engine ‘e bağlanarak genel sistemin yönetilmesini
bilgilerin gösterilmesini ve analiz edilmesini sağlar
Mimari?
Mimari?

•Performans
•İşlenecek kayıt sayısına (EPS) e göre fiziksel kapasite
arttırılabileceği gibi
Motor
Veritabanı
Arayüz
Farklı fiziksel veya sanal sunuculara eğitimli teknisyenlerce
dağıtılarak performans optimizasyonu sağlamaya açık bir mimariye
sahiptir.
Mimari?
 Raporlar?

Anahtar kontrol noktalarının raporlanması

– Kullanıcı erişimleri
– Kabul edilmemiş, sistem tarafından reddedilmiş erişimler, (bunlar uygulamalar,
dosyalar gibi nesneler üzerinde de gerçekleşebilir,
– Öncelikli yetkilere sahip kullanıcılar, (Administative, Root Access),
– Yetkilendirme yetkisine sahip kullanıcı erişimleri,
– Uzaktan bağlantılar (VPN, Uzaktan ve/veya kablosuz erişimler),
– Sistem veya uygulama parametrelerinin değişimi,
– Erişim yetki seviyelerinin değişimi,
– Sistem özelliklerinin değişimi,
– Sistem güvenlik yapısının bir parçası olan (AUDIT) mekanizmasının aktive
edilmesi, kaldırılması
– Log kayıtlarına erişimler
Raporlar?
Raporlar?

•Logon/logoff takibi
•Başarısız oturum açma girişimi
•Logların silinmesi
•Kullanıcı hesabındaki değişikliklerin takibi
•Kimlerin ağ üzerinden oturum açtığının belirlenmesi
•Web sunucu üzerinde bulunan index.html dosyasında
gerçekleşecek değişiklik,
•Dhcp sunucu servisinin durması
•v.b. 100 lerce hazır rapor
Raporlar?

•Tamamen Görsel Raporlar

•100 lerce Hazır rapor
•Toplist Raporları
Raporlar?

•Hazır Raporlar
•Trafik Raporları
•Firewall Raporları
•Saldırı Raporları
•Anti-virus Raporları
•VPN Raporları
•URL Raporları
•Mail Raporları
•WEB Sunucu Raporları
•Proxy Raporları
•DHCP Raporları
Raporlar?

•Hazır Raporlar
•Printer Raporlar
•USB Raporları
•Dosya Erişim Raporları
•Logon/Logoff Raporları
•Başarısız Logon Denemeleri
Raporlar?
Raporlar?

•Hazır Raporlar
•Veritabanı Raporları
•Oracle, MSSQL(*)
•HIPAA Uyumluluk Raporları
•Kullanıcı Oturum Raporları (User Logon Report)
•Başarısız Oturum Açma Raporları (Logon Failure Reports)
•Güvenlik Kayıtlarına Erişim Raporu (Audit Log Access Reports
•Nesne Erişim Raporları (Object Access Reports)
•Sistem Olayları Raporu (System Events Report)
•Oturum Durum Raporu (Host Session Status Report)
•Başarılı Etki Alanı Oturum Açma Raporu (Domain Logon Repo
•Başarısız Etki Alanı Oturum Açma Raporu (Domain Logon Fai
•Güvenlik Kayıtlarının Arşivlenmesi (Security Log Archiving)
Raporlar?

•SOX Uyumluluk Raporları

•Kullanıcı Oturum Raporları (User Logon Report)
•Başarısız Oturum Açma Raporları (Logon Failure Reports)
•Güvenlik Kayıtlarına Erişim Raporu (Audit Log Access Reports
•Nesne Erişim Raporları (Object Access Reports)
•Sistem Olayları Raporu (System Events Report)
•Oturum Durum Raporu (Host Session Status Report)
•Güvenlik Kayıtlarının Arşivlenmesi (Security Log Archiving)
•Oturum Durum Raporu (Host Session Status Report)
•Hesap Yönetim Olaylarının Takibi
•Kullanıcı Grup Değişikliklerinin Takibi
Raporlar?
Raporlar?

•SOX Uyumluluk Raporları-Devam

•Kullanıcı Grup Değişikliklerinin Takibi
•Denetim Politikalarında Yapılan Değişikliklerin Takibi
•Başarılı Etki Alanı Oturum Açma Raporu (Domain Logon Repo
•Başarısız Etki Alanı Oturum Açma Raporu (Domain Logon Fai
•Kullanıcı Hareketlerinin Takibi
•Uygulama Çalıştırma Olaylarının Takibi
•Dizin/Dosya Erişim Takibi
Raporlar?
Raporlar?

•GLBA Uyumluluğu
•Kullanıcı Oturum Raporları (User Logon Report)
•Başarısız Oturum Açma Raporları (Logon Failure Reports)
•Güvenlik Kayıtlarına Erişim Raporu (Audit Log Access Reports
•Güvenlik Kayıtlarının Arşivlenmesi (Security Log Archiving)
Raporlar?

•Hazır raporların hepsinde tek tıkla

•En çok … kullanıcılar
•En çok …. URL ler
•En çok … IP ler
•En çok … makine isimleri
•En çok yapılan saldırı tipleri
•En çok saldıran virüsler
•Seçilen tarihler arasında rapor ve filtreleri oluşturma
•Seçilen herhangi bir siteye ulaşanlar
•Seçilen herhangi virüsün saldırdığı tarihler ve UTM yada
AV sunucu tarafından yapılan işlemler
•Vb…
Raporlar?

•Bütün Raporlar
•Liste
•Grafik olarak alınabilir
•Bütün Raporlar
•PDF
•CSV
•TXT
•HTML
•Ayrıca Bazı Raporlar
•Crystal Reports
•MS Word
•Rich Text
olarak kaydedilebilir
Raporlar?
 Raporlar?

•Hazır Raporlar Haricinde Kullanıcı Kendi Raporlarını Tanımlayabilir

Örnek Raporlar

Logon-Logoff
Örnek Raporlar

Logon-Logoff
Örnek Raporlar

Logon-Logoff-Addon
Örnek Raporlar

Saldırı Raporları
Örnek Raporlar

Saldırı Raporları-Grafiksel
Örnek Raporlar

URL Raporları-Grafiksel
Örnek Raporlar

5651-İmza
Yeni Rapor Tasarlama

Örnek: Uygulama Çalıştırma Olaylarının Takibi

Yeni Rapor Tasarlama

Örnek: Uygulama Çalıştırma Olaylarının Takibi

ANET Bonasus Plus-Addon
Addon

Bonasus Plus Eklentileri-Addon

•Yazılım - Donanım Envanteri
•Sistem Yönetimi ve Kullanıcı Raporları
•Olay Günlüğü Yönetimi Eklentisi
•Güvenlik Analizi
Addon

Bonasus Plus Eklentileri-Addon

•Bu modüller Etki alanı (Aktive Directory/Domain)
olmadan kurulamazlar

•Bonasus Plus kurulu sunucudan erişilebilen (Desktop based GUI)

arayüze sahiptirler
Addon

Envanter
Addon

Kullanıcı Yönetimi
Addon

Sistem Yönetimi
Addon

Sistem Yönetimi
•Server Yönetimi
•Bilgisayar Yönetimi
•Uzak Makinede Bütün Olayların
Yönetimi
•Uzak Masaüstü Desteği
•Diğer Komutlar
•Server Monitoring
Addon

Olay Günlüğü Yönetimi Eklentisi

Addon

Olay Günlüğü Yönetimi Eklentisi

•Gelişmiş raporlama özelliği sayesinde ağınız hakkında derinlemesine
raporlar hazırlayabilirsiniz.

•Üzerinde gelen yüzlerce hazır kural ve filtre anında kurulum ve

kullanıma başlama imkanı sağlar.

•Tüm loglar içerisinde büyük kısmı oluşturan önemsiz logların

otomatik olarak silinebilmesi

•Ağın durumunun grafiksel olarak gözlemlenmesi

•Oluşan logların “event browser “ üzerinde hangi bilgileri görmek

istiyorsak o alanlar seçilerek, daha sade ve anlaşılabilir hale getirebiliriz.
Addon

Güvenlik Analizi
Addon

Güvenlik Analizi
•Cisco Pix/ASA , Cisco IPS, Snort IDS ve
Microsoft Windows 2008/2003/Vista/XP loglarının görsel analizi
ile saldırılar ve bu saldırı lokasyonlarını haritalar üzerinde
Görebilirsiniz

Örnek:
Snort loglarını analiz ederek:
<33> snort: [1:1421:11] SNMP AgentX/tcp request [Classification: Attempted Information Leak] [Priority: 2]: {TCP} XX.YY.XXX.YYY:39381 -> ZZ.XXX.YY.Y:7054

Saldırının geldiği Ülke

Saldırı tipi [SNMP SCAN]
Ayrıca aynı saldırıyı yapan başka adresler var mı?
 ANET YAZILIM
Doğu Mah. Bilge Sok. No:2 Kat 5
Daire 4
Pendikİstanbul
T: 0216 3540580
F: 0216 3540580
ertugrul.akbas@anetyazilim.com.tr
ertugrul.akbas@anetyazilim.com
www.anetyazilim.com.tr
www.anetyazilim.com