HP ArcSight – Genel Bakış – Bölüm 1
Günümüzde organizasyonlarda farklı cihazlardan fazla sayıda ve farklı türde log üretilir. Bir kurumun sadece bir branch’inde bile router,firewall,IDS,IPS,vs. birçok cihazdan gelen yetkisiz erişim girişimlerini, network tehditlerini vs. sürekli izlemek gerekir ve incelenmesi gereken çok fazla sayıda log bulunmaktadır. Gün içerisinde yapılan aktiviteler de ( firewall events, Anti-virus data, application logs, database access, file server access gibi) milyonlarca event/log üretir. Ve bazen de belirli bir kullanıcının ne zaman, ne yaptığını (forensic) bilmek gerekebilir. İşte bunun gibi nedenlerden dolayı organizasyonlar bir SIEM ürününe ihtiyaç duyarlar.
SIEM nedir?
SIEM ( Security Information and Event Management) ürünü, büyük bir network’teki çeşitli network cihazlarından bütün log data’larını toplar, tanımlar, güvenlik tehditlerini ve şüpheli davranışları raporlar. SIEM ürünü bunun dışında birçok network’ten ve cihazdan toplanan bütün log data’larının depolanmasını, arşivlenmesini ve ilişkilendirilmesini sağlayarak, uzun zaman alan adli soruşturmaları ( Forensic Investigation) kolaylaştırır (Sonuçlandırılabilmesini sağlar).
Peki, bu toplanan milyarlarca log data’sına ne olur?
SIEM çözümü, bu dataların ilişkilendirilip, işlenip, anlaşılır bir şekilde GUI ile size sunulmasını da sağlar. Bunu tümleşik(integrated) olan GUI Dashboard’lar ile ya da ihtiyac doğrultusunda bazı yasal düzenlemelere göre uyarlanmış (PCI,HIPAA,Hitech, SOX. vb) raporlar aracılığıyla bize sunar.
SIEM çözümü, network ataklarını veya tehditlerini hafifletmez ancak, yöneticilerin bu atakları kısa sürede tanımlaması için yardımcı olur ve önlem alınmasını sağlar.
SIEM çözümü tarafından izlenebilen event’lere örnek olarak,
– Yönetici ya da kullanıcı aktiviteleri tarih/saat ile izlenir ve policy ihlalleri raporlanır.
– Bütün dosya erişimlerini, özellikle hassas klasörlere erişimleri ( mesela kredi kartı bilgileri, satış raporları, özgeçmiş bilgileri vs.), görüntüleyebilir.
– Log dosyalarının tamamı monitor edilir ve değişiklikler raporlanır.
– Network Security cihazlarının, Network Gateway cihazlarının, kablolu ve kablosuz cihazların ürettikleri bütün loglar monitör edilir.
– Ayrıca, bütün AAA ( Authentication, Authorization and Accounting Systems – AD, RADIUS, vs) sistemlerin, Web Application’larının, Database’lerin izlenip, yapılan bütün aktivitelerin log olarak saklanmasını sağlar.
– Bütün şüpheli user aktivitelerini izler.
– Kritik sistem event’lerini, sistem kesintilerini izler.
– Network bileşenlerindeki konfigürasyon değişimlerini bulur, eğer illegal bir erişim var ise farkeder, internal user’larınız için; kimin, ne zaman ve ne şekilde eriştiğini raporlar.
Peki, bir SIEM ürünü almanın avantajları nedir?
SIEM ürünlerinin, birçok branch’ten ve binlerce cihazdan aldığı loglar ile network tehditlerini gerçek zamanlı olarak izleyip, yakalaması, analiz etmesi, hızlı bir şekilde aksiyon alınmasını sağlaması; adli soruşturmaların hızlıca ve kolayca yapılmasını sağlaması; log’ların ve event’lerin raporlanması ve GUI tabanlı gösterilmesi; birçok farklı network cihazından aldığı farklı formatlardaki logları ilişkilendirmesi; false positive olayların sayısını düşürmesi ve daha sayamadığım birçok meziyeti sistem yöneticileri için çok büyük avantaj sağlar.
Bu yazımda kendi alanında Gartner’s Magic Quadrant raporlarına göre lider olarak gösterilen ArcSight ürününü incelemek istedim…
Best SIEM Solution: ArcSight
ArcSight Ürününe Genel Bakış
ArcSight ürünü, Security Information and Event Management kategorisinde Gartner’s Magic Quadrant raporuna göre liderler arasında ve lider olarak görülmektedir.
ArcSight’ın yaklaşımı, gözlem ve kontrol için tek iletişim noktası oluşturmaktır. Uygun olan bütün event verisini toplar ve standart bir forma sokar. Analiz için merkezi bir yerde toplar. Sonuç olarak ta, kurumsal aktiviteleri izlemenizi ve gerekliyse aksiyon almanızı kolayca sağlar. Bu sizin yasal gerekliliklere uygunluğunuzu ve iş sürekliliğinizi arttırır.
Peki, ArcSight ürününün öne çıkan özellikleri ve diğer ürünlerden farklılıkları nelerdir?
Yukarıdaki resimde görüldüğü gibi 3 özelliği bir arada kullanır. Collection, Correlation ve Ability of Scale.
Collection:
Herhangi bir veri kaynağından ( firewall, server, desktop, router, application server, database, vs.) event toplama işidir. Hızlılık, kullanım kolaylığı ve geleceğe dönük geliştirilebilir yapısı tercih sebebidir. ArcSight içerisinde tanımlı yaklaşık 300 adet farklı connector aracılığıyla farklı cihazlardan log toplamanız oldukça kolaydır. ArcSight Connector Toolkit ile de istediğiniz gibi connector geliştirmeniz mümkündür. Bu, kurumlar için oldukça önemlidir. Çünkü, network’te varlığından bihaber olduğunuz cihazları bulup onlardan da data toplamak isteyebilirsiniz. Bu durumda geliştirdiğiniz custom connector’ler devreye girer. Diğer SIEM ürünleri ile karşılaştırıldığında, ArcSight User-Friendly ve hızlı çözüm üretebilir yapısı ile öne çıkar. Ayrıca, özel olarak oluşturduğumuz rule’lar ve yaptığınız analizler sonucu elde ettiğiniz raporlar, siz ekipmanlarınızı değiştirseniz bile çalışmaya devam eder. Bu önemli bir farktır. Sizi üretici bağımlılığından kurtarır ve geleceğe dönük risk analizini azaltır.
Correlation:
Görünürde birbiri ile ilişikli olmayan event’leri ilişkilendirir ve ortaya asıl veriyi çıkarır. İyi bir correlation ile milyonlarca event içerisinden filtreleme yapar ve önemli olana odaklanmanızı sağlar. Fazla sayıdaki “ false positive” ler ve fazla sayıdaki “false negative alert” ler dikkatinizi dağıtır. ArcSight birçok teknik kullanarak ( time windows, context analysis…) veriyi süzer. Böylece siz, her gün üretilen milyonlarca event arasından önemli olana odaklanabilirsiniz.
Ability to Scale:
Sürekli büyüyen, genişleyen bir kurumda bu genişleme nedeniyle Security Management Platform’unda oluşabilecek darboğazı engellemek istersiniz. ArcSight kolayca ölçeklendirilebilir yapısı ile genişleyen network’ünüze uyum sağlar. Beklenen ve planlananın dışında bir veri toplansa bile event’leri aynı şekilde analiz etmeye devam eder. Bu özelliği ile de tercih sebebidir.
ArcSight Security Monitoring Platform
ArcSight, merkezi bir yönetim platformu ve event akışını yöneten, analizi kolaylaştıran ve olaylara müdaheleyi sağlayan çeşitli bileşenlerden oluşur.
ArcSight Solution’ını 3 katmanda inceleyebiliriz.
Yukarıdaki resimde görüldüğü gibi;
Collection katmanında, Smart Connector bileşeni ve Connector Appliance’ı bulunmaktadır. Şirketinizdeki her tip sistemden event’leri toplar. Bu sistemlerden toplanan çok farklı formatlardaki verileri standart bir formata sokar ve monitoring katmanına uygun hale çevirir.
Archiving katmanında bulunan ArcSight Logger, işlenmiş verilerin ve bu verilerden alınan geçmiş raporların uzun süreli depolanmasını sağlar.
Monitoring katmanı ise, gerçek zamanlı problemleri elde etmek için standart hale getirilmiş verilerin ilişkilendirilmesini sağlayan core platform’dur. Bu katmanlar üzerine opsiyonel olarak farklı modüller eklenebilir. Örneğin, compliance, identity theft ve fraud monitoring gibi…
ArcSight Solution Topology
Yukarıdaki topology’de gördüğünüz gibi ArcSight bileşenlerini çeşitli katmanlarda konumlandırıp hassas kontrol, esneklik, gelişmiş discovery ve spesifik olayların iyileştirilmesini sağlayabilirsiniz.
Bir sonraki yazımda ArcSight SIEM ürününün bileşenlerini tek tek inceleyeceğiz.
Herkese neşeli günler…