Crypttech SIEM ve Log Yönetimi

Crypttech SIEM ve Log Yönetimi

2006 ylından itibaren log yazılımları çözümleri geliştiren CRYPTTECH; bir çok şirketin log yönetimi alanında siber güvenlik çözümlerini sağlamaktadır. Küçük veya büyük ölçekli pek çok şirket güvenlik log çözümleri konusunda CRYPTTECH kullanmaktadır.  

Ürün Hakkında Bilgiler

Bilgi güvenliğinin sağlanması için en öncelikli adımlardan biri sistem ve uygulamaların kayıtlarının tutulmasıdır. Bilgi Güvenliği Bilgi ve Olay Yönetim Sistemi; güvenlik yazılımları, sistem ve uygulamaların ürettikleri kayıtların merkezi bir ortamda toplanarak Normalizasyon (Normalization), Konsolidasyon (Consolidation), Birleştirme (Aggregation), İlişkilendirme (Correlation) ve Görselleştirme (Visualization) adımlarından sonra üzerinde tanımlanan kurallara göre güvenlik ihlalleri ya da anormal aktiviteler için alarmlar üreterek proaktif önlemler alınmasını sağlayan bir sistemdir.

 

Göstergeler (Dashboard)

CryptoLOG Göstergeler ekranı sayesinde sistemin topladığı ve işlediği tüm loglar kategorilerine göre tespit edilebilir. Sistem ile ilgili işlemci, bellek ve disk performans değerleri, saniyede işlenen olay sayısı (EPS – Event Per Second) bilgisi tam zamanlı olarak izlenebilir.

Göstergeler ekranında logların kaynaklarına göre dağılımı ile aylık, haftalık ve günlük toplam kayıt sayıları grafiksel olarak gösterilir. Bu sayede normal olmayan bir süreci tespit etme olanağına sahip olunabilmekte, sistemin Dril-drown özelliği ile sonraki ekranlara inilerek olayla ilgili daha detaylı bilgilere süratli bir şekilde ulaşılabilmektedir.

İstenildiği kadar Özel Göstergeler tanımlayarak istenilen istatistiksel grafik ya da alarm ekranları arasında sistemin otomatik olarak geçişi sağlanabilir. Bu ekran projeksiyon ya da LCD panel vasıtası ile yansıtılarak yüzlerce grafiğin istenilen aralıklarda gösterilmesine olanak sağlamaktadır.

 

Log Toplama ve Gelişmiş Eklenti (Plugin) Yapısı

CryptoLOG bir çok yöntemle logları toplayabilmektedir. Bunlar arasında en çok kullanılanlar OPSEC, syslog, ajan, socket, snmp, ODBC, OLE DB, native DB, WMI, remote registery, paylaşım, samba, ftp, sftp, ssh sayılabilir.

 

CryptoLOG gelişmiş eklenti yapısı ile benzersiz bir log işleme kapasitesi sunar. Eklenti alt yapısı düzenli ifadeler (regex) veya CryptoLOG örüntü işleme fonksiyonlarını kullanır. Her iki yöntemde de sihirbazlar ya da doğrudan eklenti adımları seçilerek ekstra eklenti yazılabilir. Bu yöntemlerin dışında kod eklentileri yazılabilmektedir. Cryptolog ön tanımlı olarak C# ve VB kod çalıştırma motorlarını içerir. Eklenti içerisinde istenilen kodlar eklenebilir.

 

Esnek ve güçlü plugin sistemindeki eklentilerden hangisinin kullanılacağı kullanıcının isteğine bağlıdır. Ön tanımlı olarak 300 den fazla sistemin hazır eklentisi bulunur. Eklentiler üzerinde Alarm alanları ve mesajları tanımlanabilmektedir. Log üzerindeki herhangi bir alandaki herhangi bir şablona uyan log işlendiğinde, sistem kullanıcının belirlediği alarmı üretmektedir. Güncel eklentiler web deposu üzerinden client ile otomatik çekilebilir.

 

İstatistiksel Raporlar

Gelişmiş istatistiksel verilerde toplanan loglar ile ilgili her türlü rapor sistemden alınabilmektedir. Bu raporlar ayrıca isteğe bağlı şekilde gerçek zamanlı olarak ya da kullanıcı tarafından belirlenen zamanlarda sorgulanarak oluşturulabilir.

Bu raporlar statik olmayıp, bizzat kullanıcı tarafından oluşturulur. Kullanıcılar logların istedikleri alanları üzerinden raporlar alabilir, raporlar PDF, EXCEL, WORD ve CSV ortamına aktarılabilir. Aynı zamanda eklentiler üzerinde istatistik alanları oluşturulabilir. Loglar toplanırken CryptoLOG bu alanlara göre sayaçlar tutar ve kullanıcı istediği bir anda bu sayaçlar hakkında rapor alabilir. Bu alanlar üzerinden alınan raporlar önceden hesaplanmış olduğundan çok hızlı görüntülenmektedir. Normal raporların görüntülenmesinin saatler sürdüğü milyarlarca kayıt olan büyük sistemlerde, bu raporlar sadece bir kaç saniyede alınmaktadır. Bu raporlama yeteneği de CryptoLOG’un benzersiz özelliklerinden birisidir.

 

Anlık İstatistiksel Raporlar

Anlık Istatistik modülü, istatistik raporlardan farklı olarak istenilen bir zaman aralığında çalışabilir ve plugin üzerine tanımlı olan istatistik sayaçlarından bağımsız olarak istenilen alan üzerinden analizler yapılmasını sağlar.

Geleneksel Raporlar

CryptoLOG üzerinde raporlar menüsü 300 ün üzerinde hazır rapor şablonu imkanı sunmaktadır. İstenilen rapor şablonları seçilerek istenilen parametrelere göre raporlar üretilebilmektedir. Sistemden planlanmış(Schedule) raporlar alınabilmektedir. Bu raporlar istenilen kişiye atanabilmekte ve eposta yolu ile gönderilebilmektedir. Rapor hazırlama sihirbazları ile kolaylıkla rapor şablonları hazırlanabilmekte istenirse gelişmiş raporlama kısmında her bir log alanı üzerinde (RegEx) düzenli ifadeler tanımlanarak her türlü rapor sistemden alınabilmektedir.

Uyumluluk raporları GLBA, SOX, HIPAA, FISMA, PCI şablonları üzerinden alınabilmektedir. Her türlü şablon düzenlenebilir olup firmalar kendi politikaları gereği kendi uyumluluk şablonlarını oluşturabilirler.

 

Adli Bilişim (Forensic) Analizi

CryptoLOG, analizler (Forensic) için gelişmiş bir sorgulama imkânı sağlar. Sorgulama kriterleri isteğe bağlı olarak birden çok sayıda verilebilir. Sorgulamalar işlenen ve ayrıştırılan log satırları üzerinden yapılabilir. İsteğe bağlı olarak orijinal loglar da sorgularda gösterilebilmektedir ve bu sorgu sonuçları yine PDF, EXCEL, WORD ve CSV formatına aktarılabilir.

 

Yüksek Düzeyde Kullanılabilirlik (High Availability)

CryptoLOG, kümeleme alt yapısı ile aktif-pasif çalışarak yüksek oranda kullanılabilirlik imkânı sağlamaktadır. Aynı zamanda aktif-aktif olarak da çalışabilmekte, bu da sistemlerde yük paylaşımına olanak tanımaktadır.

 

İnkâr Edilemezlik ve 5651

CryptoLOG kendi içerisindeki inkar edilemezlik alt yapısına uygun olarak işlediği logların hashlerini almakta ve zaman damgası ile damgalayarak dijital imza ile imzalamaktadır. Bu işlemi her saniye yapmaktadır. İsteğe bağlı olarak; log dosyaları kapatıldığında ya da gün sonunda UEKAE’nin sağladığı zaman damgası servisini kullanarak damgalamaktadır. CryptoLOG parametrik alt yapısı ile kullanılan hash ve imza algoritmaları seçilebilmektedir. İmza algoritmalarında ön tanımlı olarak RSA(1024 bit) veya DSA kullanılmaktadır. Hash’leme algoritmaları olarak MD5, SHA1, SHA216, SHA512 isteğe bağlı olarak seçilebilir. İsteğe bağlı olarak her bir log satırı imzalanabilmektedir.

Cryptolog yasal istekler için dışarı veri aktarma imkânı sağlar. Forensic Analiz kısmında Yasal Sorgulama için Dışarı veri aktarma seçilerek orijinal log dosyaları, içerisinde hash ve zaman damgası bilgisi bulunan dijital imza dosyaları ve sertifikalar dışarı aktarılabilmektedir.

 

Arşiv ve Yedekleme

CryptoLOG, sistem yapılandırma ve eklenti yedeklerini istenen lokasyona yedekleyebilmekte ve aynı zamanda işlediği logları da güvenli bir şekilde farklı ortamlara aktarabilmektedir. İsteğe bağlı olarak arşivlenen loglar üzerinde sorgulama yapılabilmektedir. Dolayısı ile arşiv kayıtları üzerinde sorgulama ihtiyacı olduğunda ek işleme gerek kalmaz. CryptoLOG logları 1:30 oranında sıkıştırabilmektedir. Analizler ve raporlar sıkıştırılmış veriler üzerinden ek işlem yapılmadan doğrudan yapılabilmektedir.

 

Kullanıcı Yönetimi ve Yetkilendirme

CryptoLOG menü ve fonksiyon anlamında gelişmiş bir yetkilendirme alt yapısı sunar. Kullanıcı yönetimi rol bazlı yapılır ve oluşturulan rollere istenen özellikler ve yetkiler sistem yöneticileri tarafından verilebilir. Bu kısımda var olan yetkilendirmeler eklenti seviyesine kadar inmektedir.

 

Ajan Yönetimi

Cryptolog ajanları merkezi olarak yönetilebilmektedir. Uzaktan sunucu ve istemcilere yüklenebilmekte ve ajanların konfigürasyonları da merkezi olarak yine dashboard üzerinden yapılabilmektedir. Bu kısımda gruplar oluşturulabilmekte ve belli bir gurubun altındaki ajanlara toplu olarak politika/konfigürasyon gönderilebilmektedir. Ayrıca ajanların çalışma durumunu gösteren ekranlar üzerinden çalışan ve çalışmayan ajanlar da kontrol edilebilir.

CryptoLOG 32 ve 64 bit mimari işletim sistemleri üzerinde koşabilir;

  • Ubuntu 10.04 LTS – Lucid Lynx Server
  • Ubuntu 12.04 LTS – Precise Pangolin
  • Ubuntu 14.04 LTS – Trusty Tahr
  • Debian 6 – Squeeze
  • OpenSuse 11.4, 12.1, 12.2
  • RedHat Enterprise Linux 5.6, 5.7, 6.0
  • CentOS 5.6, 5.7, 6.0
  • Sun Solaris 10
  • OpenSolaris 2009.6
  • Windows 2003 Server (.net framework 3.5/ üstü)
  • Windows 2008 Server (.net framework 3.5/ üstü)
  • Windows 2012 Server (.net framework 4.5/ üstü)

Sanal Sistemler;

  • Linux KVM-2.6.33 kernel versiyonu ve üstü (Kernel Virtual Machine)
  • Citrix XEN Server 6
  • Microsoft Hyper-V Server
  • Free Xen Hypervisor 4.1, 4.0
  • VMware vSphere Hypervisor 5.0
  • VMware ESX & ESXi 3.5, 4.0, 4.1, 5.0

Donanım Gereksinimleri;

EPS(Max)

CPU

RAM

DISK

1.000

1xIntel Atom

2 GB

500 GB 7.2K RPM

2.500

1xIntel Dual Core

4 GB

1 TB 7.2K RPM

12.000

1xIntel XEON Quad Core 3400 Series

8 GB

1 TB 7.2K RPM

33.000

2xIntel XEON Quad Core 56 Series

16 GB

2 TB 7.2K RPM

  • Müşteri, ziyaretçi ve belirli bir ağ için güvenli internet ağ geçidi sunar.
  • Donanım ve üretici bağımsızdır, basit kurulabilir hotspot sunucu hizmeti sağlar
  • Yetkilendirme yöntemlerinde çeşitlilik olanağı bulunur.
  • Kullanım şablonları, erişim profilleri ve kullanıcı konfigurasyon esnekliği mevcuttur.
  • Lokasyon bazlı karşılama sayfası, IP-MAC, beyaz-kara listeler, URL filtreleme hizmeti sunar.
  • Bant genişliği/kota yönetimi, erişim süreleri tanımlama özellikleri vardır.
  • Yetkilendirme olmadan erişim imkanı, yetkilendirme sonrası yönlendirme olanaklarını sağlar.
  • SMS, sosyal medya, sponsor, PMS (önbüro), standart kullanıcılar, web servisi doğrulama hizmeti verir.
  • İstatistiksel göstergeler, web erişim kayıtları ve yönetici raporları sunar.
  • Özelleştirilmiş karşılama sayfaları, mobil/tablet uyumluluğu, çoklu dil desteği nitelikleri mevcuttur.
  • Reklam/dijital pazarlama ve anket yönetimi ve entegrasyon ve geliştirme için RESTful API desteği verir.