Académique Documents
Professionnel Documents
Culture Documents
2011
Ertuğrul AKBAS
[ANET YAZILIM]
09.04.2011
Bonasus Plus
Son zamanlarda birçok şirket sistemlere yapmış oldukları yatırımlardan daha cok verim alabilmek icin
Log Yonetimi üzerine yogunlaşmiş durumdadırlar ve bu şirketlerdeki IT departmanları da Log Yonetimi
sayesinde verimliliği arttırmaktadırlar.
Son zamanlarda kanunlar da Log Yonetimi konusuna onem vermektedirler. Log Yonetimi ornegin PCI
denetimi sirasindaki yukumluluklerin karsilanmasi konusunda gereklidir. Sorumlu olduklari denetimler
icin Log Yonetimi yapan sirketler bu loglar sayesinde sistemlerinde farkinda olmadiklari
bir cok sorunu da tespit etmektedirler.
Yonetim seviyesinde duyarliligin artmasina faydali olan Log Yonetimi sayesinde sirketler daha verimli
ve saglikli bir ag yapisina sahip olurlar.Sonuc olarak Log Yonetimi sistemlerin cokmesine sebebiyet
veren sorunlarin evvelden tespit edilerek sistemlerin daha guvenli calismasina ve sistemlerin daha az
cokmesini firsat verir.
Referans
SANS Log Survey Raporları
Bonasus Plus- Bilgi Güvenliği
kullanıcılar ve
sistemler için
Politika Belirle
ve Uygula
Güvenli BT
Saldırılara ve ihlallere Altyapısı kullanıcılar ve
karşı sistemler için
Proaktif Koruma Merkezi Erişim Denetimi
Komuta
ve
Kontrol
• Üretim
• Toplama
• Depolama
• Raporlama
• İlişkilendirme
• Özetleme
• Alarm üretimi
• Arşivleme
Bonasus Plus
Bonasus Plus
Teknik Özellikleri:
•AR-GE
•E. Akbas, "System Independent And Distributed Fault Management System",
The Eighth IEEE Symposium on Computers and Communications,30 June-3
July 2003, Antalya, Turkey.
•E. Akbas, "Web Based Management: A Novel Architecture ", The Sixteenth
International Symposium on Computer and Information Sciences (ISCIS
XVI), October, 29-31, 2001, Antalya, Turkey
•AR-GE
•H. Gümüskaya, T. Dursun, E. Akbas, O. Davulcu, "A CORBA and Java
Mobile Agent Based Network Management Architectures", International
Symposium on Computer and Information Sciences XIV (ISCIS'14), pp. 975-
982, October 18-20, 1999, Kusadasi, Izmir.
•AR-GE
•Ertuğrul Akbaş, Topolojik Bağımlı Otomatik Sistem Güvenliği Tarama
Yöntemi, http://www.olympos.org
•Ertuğrul Akbaş, Yerel Alan Ağlarında Paket Analizi ile Güvenlik Taraması,
http://www.olympos.org
•E. Akbas, C. Ersoy, "Multi Constarint Path Finder Algorithm", The Fifteenth
International Symposium on Computer and Information Sciences ( ISCIS
XV), October, 11-13, 2000, ISTANBUL, Turkey .
•
•H. Gümüskaya, T. Dursun, E. Akbas, O. Davulcu, "A CORBA and Java
Mobile Agent Based Network Management Architectures", International
Symposium on Computer and Information Sciences XIV (ISCIS'14), pp. 975-
982, October 18-20, 1999, Kusadasi, Izmir.
•
Log Kaynakları?
•İşletim Sistemleri:
•Windows XP/Vista/7
•Windows Server 2000/2003/2008/R2
•Unix/Linux Türevleri
•Nas Cihazları (NetApp)
•Uygulamalar:
•Dhcp
•IIS 6/7/7.5 (W3C)
•Apache (Syslog)
•Text-Based Log (Csv/Tsv/W3C/Txt/Custom )
•Dansguardain
•Postfix
Log Kaynakları?
•Firewall / Proxy:
•Kerio •Anchiva
•ISA/TMG Server
•Lucent •Applied Identity
•BlueCoat
•McAfee-Secure •ARKOON
•3Com
Computing •Aventail
•Astaro
•NetApp •AWStats
•CheckPoint
•NetFilter •Cimcor
•Cisco Systems
•Snort •DP Firewalls
•Clavister
•SonicWALL •Electronic Consultants
•CyberGuard
•Netopia •Global Technologies
•D-Link
•Network-1 •Ingate
•Fortinet
•St. Bernard Software •Inktomi
•FreeBSD
•Sun Microsystems •Lenovo Security
•IPCop
•WatchGuard Technologies
•Juniper
•Zywall •NetASQ
•Drytek
Log Kaynakları?
•Network Cihazları:
•Syslog Gönderen Cihazlar
•SNMP Trap Gönderen Cihazlar
•Email:
•Exchange 2003
•Exchange 2007
•Exchange 2010
•IIS SMTP
•SendMail/Qmail ve Bezeri *nix Tabanlı Sistemler
•Veritabanları
•Oracle
•MSSQL (*)
Mimari?
•Performans
•İşlenecek kayıt sayısına (EPS) e göre fiziksel kapasite
arttırılabileceği gibi
Motor
Veritabanı
Arayüz
Farklı fiziksel veya sanal sunuculara eğitimli teknisyenlerce
dağıtılarak performans optimizasyonu sağlamaya açık bir mimariye
sahiptir.
Mimari?
Raporlar?
•Logon/logoff takibi
•Başarısız oturum açma girişimi
•Logların silinmesi
•Kullanıcı hesabındaki değişikliklerin takibi
•Kimlerin ağ üzerinden oturum açtığının belirlenmesi
•Web sunucu üzerinde bulunan index.html dosyasında
gerçekleşecek değişiklik,
•Dhcp sunucu servisinin durması
•v.b. 100 lerce hazır rapor
Raporlar?
•Hazır Raporlar
•Trafik Raporları
•Firewall Raporları
•Saldırı Raporları
•Anti-virus Raporları
•VPN Raporları
•URL Raporları
•Mail Raporları
•WEB Sunucu Raporları
•Proxy Raporları
•DHCP Raporları
Raporlar?
•Hazır Raporlar
•Printer Raporlar
•USB Raporları
•Dosya Erişim Raporları
•Logon/Logoff Raporları
•Başarısız Logon Denemeleri
Raporlar?
Raporlar?
•Hazır Raporlar
•Veritabanı Raporları
•Oracle, MSSQL(*)
•HIPAA Uyumluluk Raporları
•Kullanıcı Oturum Raporları (User Logon Report)
•Başarısız Oturum Açma Raporları (Logon Failure Reports)
•Güvenlik Kayıtlarına Erişim Raporu (Audit Log Access Reports
•Nesne Erişim Raporları (Object Access Reports)
•Sistem Olayları Raporu (System Events Report)
•Oturum Durum Raporu (Host Session Status Report)
•Başarılı Etki Alanı Oturum Açma Raporu (Domain Logon Repo
•Başarısız Etki Alanı Oturum Açma Raporu (Domain Logon Fai
•Güvenlik Kayıtlarının Arşivlenmesi (Security Log Archiving)
Raporlar?
•GLBA Uyumluluğu
•Kullanıcı Oturum Raporları (User Logon Report)
•Başarısız Oturum Açma Raporları (Logon Failure Reports)
•Güvenlik Kayıtlarına Erişim Raporu (Audit Log Access Reports
•Güvenlik Kayıtlarının Arşivlenmesi (Security Log Archiving)
Raporlar?
•Bütün Raporlar
•Liste
•Grafik olarak alınabilir
•Bütün Raporlar
•PDF
•CSV
•TXT
•HTML
•Ayrıca Bazı Raporlar
•Crystal Reports
•MS Word
•Rich Text
olarak kaydedilebilir
Raporlar?
Raporlar?
Logon-Logoff
Örnek Raporlar
Logon-Logoff
Örnek Raporlar
Logon-Logoff-Addon
Örnek Raporlar
Saldırı Raporları
Örnek Raporlar
Saldırı Raporları-Grafiksel
Örnek Raporlar
URL Raporları-Grafiksel
Örnek Raporlar
5651-İmza
Yeni Rapor Tasarlama
Envanter
Addon
Kullanıcı Yönetimi
Addon
Sistem Yönetimi
Addon
Sistem Yönetimi
•Server Yönetimi
•Bilgisayar Yönetimi
•Uzak Makinede Bütün Olayların
Yönetimi
•Uzak Masaüstü Desteği
•Diğer Komutlar
•Server Monitoring
Addon
Güvenlik Analizi
Addon
Güvenlik Analizi
•Cisco Pix/ASA , Cisco IPS, Snort IDS ve
Microsoft Windows 2008/2003/Vista/XP loglarının görsel analizi
ile saldırılar ve bu saldırı lokasyonlarını haritalar üzerinde
Görebilirsiniz
Örnek:
Snort loglarını analiz ederek:
<33> snort: [1:1421:11] SNMP AgentX/tcp request [Classification: Attempted Information Leak] [Priority: 2]: {TCP} XX.YY.XXX.YYY:39381 -> ZZ.XXX.YY.Y:7054