Η ανάπτυξη Συστημάτων Ανάλυσης Πληροφοριών Ασφάλειας και Διαχείρισης Περιστατικών (Security Information and Event Management – SIEM), δημιουργήθηκε από καθαρή ανάγκη. Όπως χαρακτηριστικά περιέγραψε ο Mike Rothman σε άρθρο του στο TechTarget τον Ιούνιο του 2014 με τίτλο «The past, present and future of SIEM technology» η ανάγκη αυτή δημιουργήθηκε με την εισαγωγή συστημάτων IPS και IDS systems. Ο μεγάλος όγκος ειδοποιήσεων που πήγαζε από τα «πρωτόγονα» για τα σημερινά δεδομένα συστήματα προκαλούσε δυσκολία στη επεξεργασία και την αξιολόγησή τους από Τμήματα ΙΤ.
Αλεξία Χριστοφή
Managing Director
CYSOFT
www.cysoft.gr
Βασικά χαρακτηριστικά του EventLog Analyzer
- Συλλέγει logs από ετερογενής πηγές (Windows systems, Unix/Linux systems, Applications, Databases, Routers, Switches και άλλα Syslog) σε ένα κεντρικό σημείο. Χρησιμοποιεί τεχνολογία Universal Log Parsing and Indexing (ULPI) για την κρυπτογράφηση των log ασχέτως πηγής ή format.
- Διευκολύνει σε μεγάλο βαθμό την επεξεργασία για σκοπούς εγκληματολογικής έρευνας/αυτοψίας δεδομένων. Με δυνατό log search ψάχνει εξονυχιστικά σε raw και formatted μορφή για την άμεση εξαγωγή αποτελεσμάτων για αξιολόγηση. Με το EventLog Analyzer ο διαχειριστής μπορεί να εντοπίσει με ακρίβεια την ώρα, τον δράστη και την τοποθεσία του περιστατικού.
- Η συσχέτιση περιστατικών και η δημιουργία ειδοποιήσεων σε πραγματικό χρόνο επιτρέπει στον διαχειριστή να προστατεύει ενεργά το δίκτυό του. Μπορούμε να ρυθμίσουμε rules και scripts για να συσχετίσουμε περιστατικά βάσει ορίων ή ανώμαλων περιστατικών και να ειδοποιείτε σε πραγματικό χρόνο. Η δυνατή μηχανή συσχέτισης του EventLog Analyzer’s διατίθεται με πάνω από 70 έτοιμους κανόνες που καλύπτουν user access, user logins, file integrity, user creation, group policies, unintended software installations και πολλά άλλα.
- Το EventLog Analyzer διευκολύνει τον έλεγχο ακεραιότητας αρχείων (FIM) σε πραγματικό χρόνο προστατεύοντας τα ευαίσθητα δεδομένα σας και συμβαδίζοντας με τις απαιτήσεις συμμόρφωσης. Επιτρέπει επίσης την κεντρική παρακολούθηση αλλαγών σε αρχεία και φακέλους από επαγγελματίες ασφάλειας και πολλά άλλα.
- Αναλύει τα δεδομένα σε πραγματικό χρόνο και εμφανίζει τα αποτελέσματα σε γραφήματα, γραφικές παραστάσεις και reports. Οι χρήστες έχουν εύκολη ορατότητα των αποτελέσματα μέσω του dashboard και την δυνατότητα να κάνουν «root cause analysis» σε ελάχιστο χρόνο.
- Προσφέρει λεπτομερή reports για την παρακολούθηση της συμπεριφορά των χρηστών. Αυτό διευκολύνει τον εντοπισμό ύποπτης συμπεριφοράς από χρήστες, ακόμα και χρήστες που έχουν προνομιακά δικαιώματα (PUMA).
- Υπάρχει λεπτομερή πληροφόρηση στα report για τις ενέργειες που έχει υποστεί ένα αρχείο, την ταυτότητα του χρήστη που τις διεξήγαγε, το μηχάνημα server και το workstation/network device από το οποίο έγινε.
- Το EventLog Analyzer μπορεί να μας πει τι έχει συμβεί στα αρχεία και στους φακέλους μας με ακρίβεια – όπως π.χ. αν και ποιος είχε πρόσβαση, αν τα επεξεργάστηκαν, αν τα έσβησαν ή αν τα μετακίνησαν. Το EventLog Analyzer διαθέτει object access reports σε φιλικό format (PDF και CSV) και αποστέλλει ειδοποιήσεις σε περίπτωση που κάποιος μη-εξουσιοδοτημένος χρήστης χρησιμοποιήσει τα ευαίσθητα αρχεία σας σε πραγματικό χρόνο μέσω sms ή email.
- Η συμμόρφωση είναι το επίκεντρο ενός συστήματος SIEM και με το EventLog Analyzer μπορεί οποιοσδήποτε οργανισμός να εκπληρώσει τις απαιτήσεις που απορρέουν παρακολουθώντας και αναλύοντας τα log από όλες τις δικτυακές συσκευές και εφαρμογές. Το EventLog Analyzer διαθέτει έτοιμα/τυποποιημένα report συμμόρφωσης όπως PCI DSS,FISMA, GLBA, SOX, HIPAA, κλπ. Επιπροσθέτως το EventLog Analyzer μας επιτρέπει να προσαρμόσουμε υπάρχοντα report συμμόρφωσης ή να δημιουργήσουμε νέα για να καλύψουμε τις αυξημένες ανάγκες συμμόρφωσης που θα φέρει η εφαρμογή νέων νόμων.
- Το EventLog Analyzer κρατάει παλαιότερα log – αναγκαία για διαδικασίες συμμόρφωσης, για την διεξαγωγή εγκληματολογικών ερευνών και εσωτερικού ελέγχου. Η ακεραιότητα των αρχείων διασφαλίζεται με log hash και «σφραγίζονται» με time-stamp για να μην μπορεί κανείς να επέμβει.
Υπάρχουν δύο εκδόσεις, η Premium για μικρομεσαίες εγκαταστάσεις και η Distributed για μεγάλους οργανισμούς. Το EventLog Analyzer προσφέρεται βάση του αριθμού των hosts, συσκευών ή εφαρμογών για τα οποία θα συμπεριληφθούν σε περιστατικά ή σε event logs.
Είναι εύκολο στην εγκατάσταση, δεν έχει ιδιαίτερες απαιτήσεις σε hardware ή άλλους πόρους και μπορεί να έτοιμο για δράση σε λιγότερο από 30 λεπτά. Στο website της ManageEngine μπορούμε να βρούμε πολύ βοηθητικό υλικό για την εφαρμογή του ακόμα και από λιγότερο έμπειρους διαχειριστές. Οι ειδοποιήσεις για διάφορα περιστατικά στο δίκτυο επιτρέπει την άμεση αντιμετώπιση οδυνηρών καταστάσεων. Σε συνδυασμό με το χαμηλό κόστος αγοράς του, έχει πολύ γρήγορη απόσβεση ικανοποιώντας Τμήματα Πληροφορικής και Διοίκησης.
Η ανάγκη φαίνεται να συνεχίζεται, αφού η εξέλιξη του “Internet of things” σημαίνει ότι όλο και περισσότερες συσκευές θα έχουν IP και θα είναι πιο σημαντική η χρήση συστημάτων SIEM για την παρακολούθηση τους. Η πολυπλοκότητα των στοχευμένων απειλών τα καθιστά σωτήρια σε μερικές περιπτώσεις. Μπορείτε να κατεβάσετε την δωρεάν έκδοση του Event Log Analyzer της Manage Engine (με περιορισμένες δυνατότητες) ή να δοκιμάσετε τις επαγγελματικές εκδόσεις για μέχρι 60 ημέρες.