LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

Transkript

1 LogApp Compliance oder wie wir lernten, unsere Logs zu lieben! Autor: Martin Grossberger, MSc

2 Die Herausforderung Unternehmen sind in der Pflicht, Log Informationen zu sammeln und zu analysieren, wenn Sie einen der folgenden Regularien Payment Card Industries Data Security Standard (PCI DSS) Sarbanes-Oxley Act (SOX) Basel II Health Insurance and Accountability Act (HIPAA) unterliegen. Aber auch seitens der Wirtschaftsprüfer bzw. der internen Revision werden die Aufzeichnungen zunehmend gefordert.

3 Herausforderungen des zentralen Log Managements Unterschiedliche Verantwortlichkeiten Unterschiedliche Log-Formate Unterschiedliche Zeitstempel Unterschiedliche Betriebssysteme Die hohe Anzahl von Events aus unterschiedlichen Datenquellen Domain Controller Firewalls Fileserver Netzwerkkomponenten

4 Warum Log Management? Alle Unternehmensdaten, die Integrität der IT Infrastruktur und die Nachvollziehbarkeit aller Systeminteraktionen durch Benutzer sind ein schützenswerter Unternehmenswert!

5 Log Management unterstützt CEO/CIO/CSO Wirtschaftsprüfer Systemadministratoren Staatsanwalt Unterschiedliche Sichten und unterschiedliche Zeithorizonte erfordern langfristige Datenarchivierung sowie mehrstufige und flexible Darstellungsmöglichkeiten!

6 Log Management Aufgaben Security Unabhängige Security Überwachung Zentrale Log Analyse mit Korrelation Alarmierung Honeypot-Funktion Reporting Compliance Langzeitarchivierung von Logdaten entsprechend: Konzernrichtlinien Nationale Richtlinien ISO SOX PCI/DSS Grundschutzhandbuch (BSI)

7 Log Konsolidierung SQL Mail Server Honey pot LAN/ WLAN VPN Firewalls Events Alarme Reports Single Point of Security

8 SIEM (Security Information & Event Management) SIEM bringt Korrelationsfunktion in das Log Management Verdächtige Aktivitäten können echtzeitnah miteinander in Verbindung gebracht werden. Pro Gerät Pro Gerätegruppe (z.b. alle Systeme in der DMZ) über alle überwachten Geräte Gesicherte Alarmierung der Sicherheitsverantwortlichen bei Richtlinienverstößen

9 Warum LogApp? Die Abbildung eines SIEM ist ohne technische Unterstützung nicht effizient umsetzbar.

10 LogApp Merkmale Zentralisiertes Management der LogAgents und HoneyApps LogAgent für Windows und Linux Integration von Netzwerkgeräten via Syslog-Proxy Regelwerk auf Basis von Konfigurationsgruppen Echtzeitkorrelation und Alarmierung Langzeitarchivierung Log-Puffer der Agents bei Verbindungsverlust zur LogApp Verschlüsselte Kommunikation zw. Agents und LogApp Verwaltung verschiedener Datenquellen (Windows Log, ASCII Log, Syslog, )

11 Unterstützte Systeme Server SAN/Security

12 Switches Unterstützte Systeme Firewalls

13 LogApp Architektur

14 LogApp Architektur virtuell Virtuell LogApp LogAgent Windows Log Agent Linux HoneyApp Virtualisierungslayer

15 Komponenten

16 Windows Event Sourcen Eventlog, Logfile, Application, EVT(X)-Files, File Integrity Monitoring Linux Flatfile, Local Syslog und File Integrity Monitoring Syslog Einbindung von Netzwerkkomponenten

17 Syslog map Definition des Logformats erfolgt anhand einer XML-map Beispiel Log <!-- date= time=19:20:24 devname=fg50bh3g device_id=fg50bh3g log_id= type=event subtype=admin pri=information vd=root user="admin" ui=http( ) action=login status=success reason=none profile="super_admin" msg="administrator admin logged in successfully from http( )" --> Standard Syslog map <maps> </maps> <map> </map> <identifier>(.*)</identifier> <regex> <attribute save="true" name="name">(.*)</attribute> </regex> <staticinfo></staticinfo>

18 HoneyApp Erweiterung Ablenkung des Angreifers von produktiven Systemen Frühzeitige Erkennung und Alarmierung von Angriffen Lernen der Vorgehensweise eines Angreifers Auffinden infizierter Systeme im eigenen Netzwerk, die als Bots dienen können Frühwarnung für neue und unbekannte Angriffe Korrelation von IPS/Firewall/Honeypot Alarmen

19 Honeypot-Dienste Honeypot Dienst Amun Dionaea Insidiator Beschreibung Amun ist ein Open Source Malware Analyse Tool, das in LogApp integriert wurde. Amun verhält sich bei einzelnen Zugriffen und Port Scans eher zurückhaltend und erzeugt nur Events, wenn konkrete Exploit-Versuche festgestellt werden. Dionaea ist ein Open Source Honeypot, der in LogApp integriert wurde. Dionaea reagiert sehr sensibel auf Zugriffe und Port Scans und erzeugt eine Vielzahl von Events. Insidiator ist ein Honeypot von iqsol. Die Services und Ports, die von Insidiator simuliert werden, können frei konfiguriert werden. Bei Zugriffen auf die konfigurierten Ports erzeugt Insidiator Events.

20 LogApp Demo

21 Enterprise Reporting Server Diverse Reporting-Templates stehen für die Auswertung zur Verfügung PCI Reports (Payment Card Industry Data Security Standard) (Attacks, File Auditing, Logins, ) BSI Grundschutzhandbuch (Bundesamt für Sicherheit in der Informationstechnik ) ISO27001

22 Beispiel Report Export von PDF CSV Excel Word

23 Sie wollen compliant sein? Kontaktieren Sie unseren Partner