Η ανάπτυξη Συστημάτων Ανάλυσης Πληροφοριών Ασφάλειας και Διαχείρισης Περιστατικών (Security Information and Event Management – SIEM), δημιουργήθηκε από καθαρή ανάγκη. Όπως χαρακτηριστικά περιέγραψε ο Mike Rothman σε άρθρο του στο TechTarget τον Ιούνιο του 2014 με τίτλο “The past, present and future of SIEM technology”, η ανάγκη αυτή δημιουργήθηκε με την εισαγωγή συστημάτων IPS και IDS systems. Ο μεγάλος όγκος ειδοποιήσεων που πήγαζε από τα “πρωτόγονα” για τα σημερινά δεδομένα συστήματα προκαλούσε δυσκολία στη επεξεργασία και την αξιολόγησή τους από Τμήματα ΙΤ.
Τα πρώτα συστήματα SIEM ήταν πολύπλοκα, δύσκολα στη ρύθμιση και οι διαχειριστές έπρεπε να γνωρίζουν για πιο θέμα έψαχναν. Αυτό «εξανάγκασε» περαιτέρω την τεχνολογία να εξελιχθεί προκειμένου να βελτιωθεί ο τρόπος διαχείρισης των δεδομένων αυτών. Πάλι όμως προϋπέθετε ότι οι διαχειριστές έπρεπε εξετάζουν τα ευρήματα τακτικά για να είναι σίγουροι ότι πρόκειται για πραγματικά προβλήματα. Αυτό σήμαινε ότι οι νέες τεχνολογίες θα έπρεπε να συνδυάζουν την αυτόματη σύγκριση δεδομένων και το ανθρώπινο «μάτι» για να επιτύχουν.
Στην προσπάθειά μας να υποστηρίξουμε τους πελάτες μας και να τους βοηθήσουμε να αξιολογήσουν τα logs, αφού καλούμαστε καθημερινά να ασχοληθούμε με αυτές τις διαδικασίες, ξεκινήσαμε την συνεργασία μας με την ManageEngine. Το EventLog Analyzer είναι ένα από τα πολύ δυνατά εργαλεία τους και διαθέτει όλες τις δυνατότητες ενός συστήματος SIEM.
Τον Αύγουστο του 2016 το EventLog Analyzer έκανε την εμφάνισή του στο Magic Quadrant της Gartner για SIEM. Κατατάχθηκε ως ανερχόμενος Niche Player και χαρακτηρίστηκε ως αξιόλογος και αναγνωρισμένος κατασκευαστής λογισμικού για IT service και υποστήριξης υποδομής συστημάτων πληροφορικής. Χρησιμοποιείται ήδη από χιλιάδες οργανισμούς όπως θα δείτε και στην ιστοσελίδα του προϊόντος. Αυτοματοποιεί ολόκληρη την διαδικασία συλλέγοντας, αναλύοντας, ερμηνεύοντας σε report και αρχειοθετώντας τα logs, όλα αυτά από μια κεντρική εγκατάσταση.
Υπάρχουν δύο εκδόσεις, η Premium για μικρομεσαίες εγκαταστάσεις και η Distributed για μεγάλους οργανισμούς. Το EventLog Analyzer προσφέρεται βάση του αριθμού των hosts, συσκευών ή εφαρμογών για τα οποία θα συμπεριληφθούν σε περιστατικά ή σε event logs. Είναι εύκολο στην εγκατάσταση, δεν έχει ιδιαίτερες απαιτήσεις σε hardware ή άλλους πόρους και μπορεί να έτοιμο για δράση σε λιγότερο από 30 λεπτά. Στο website της ManageEngine μπορούμε να βρούμε πολύ βοηθητικό υλικό για την εφαρμογή του ακόμα και από λιγότερο έμπειρους διαχειριστές. Οι ειδοποιήσεις για διάφορα περιστατικά στο δίκτυο επιτρέπει την άμεση αντιμετώπιση οδυνηρών καταστάσεων. Σε συνδυασμό με το χαμηλό κόστος αγοράς του, έχει πολύ γρήγορη απόσβεση ικανοποιώντας Τμήματα Πληροφορικής και Διοίκησης.
Η ανάγκη φαίνεται να συνεχίζεται, αφού η εξέλιξη του “Internet of things” σημαίνει ότι όλο και περισσότερες συσκευές θα έχουν IP και θα είναι πιο σημαντική η χρήση συστημάτων SIEM για την παρακολούθηση τους. Η πολυπλοκότητα των στοχευμένων απειλών τα καθιστά σωτήρια σε μερικές περιπτώσεις. Μπορείτε να κατεβάσετε την δωρεάν έκδοση του Event Log Analyzer της ManageEngine (με περιορισμένες δυνατότητες) ή να δοκιμάσετε τις επαγγελματικές εκδόσεις για μέχρι 60 ημέρες.
Βασικά χαρακτηριστικά του EventLog Analyzer
Log Data Aggregation: Συλλέγει logs από ετερογενής πηγές (Windows systems, Unix/Linux systems, Applications, Databases, Routers, Switches και άλλα Syslog) σε ένα κεντρικό σημείο. Χρησιμοποιεί τεχνολογία Universal Log Parsing and Indexing (ULPI) για την κρυπτογράφηση των log ασχέτως πηγής ή format.
Log Forensics: Διευκολύνει σε μεγάλο βαθμό την επεξεργασία για σκοπούς εγκληματολογικής έρευνας/ αυτοψίας δεδομένων. Με δυνατό log search ψάχνει εξονυχιστικά σε raw και formatted μορφή για την άμεση εξαγωγή αποτελεσμάτων για αξιολόγηση. Με το EventLog Analyzer ο διαχειριστής μπορεί να εντοπίσει με ακρίβεια την ώρα, τον δράστη και την τοποθεσία του περιστατικού.
Event Correlation & Alerting: Η συσχέτιση περιστατικών και η δημιουργία ειδοποιήσεων σε πραγματικό χρόνο επιτρέπει στον διαχειριστή να προστατεύει ενεργά το δίκτυό του. Μπορούμε να ρυθμίσουμε rules και scripts για να συσχετίσουμε περιστατικά βάσει ορίων ή ανώμαλων περιστατικών και να ειδοποιείτε σε πραγματικό χρόνο. Η δυνατή μηχανή συσχέτισης του EventLog Analyzer’s διατίθεται με πάνω από 70 έτοιμους κανόνες που καλύπτουν user access, user logins, file integrity, user creation, group policies, unintended software installations και πολλά άλλα.
File Intergity Monitoring: Το EventLog Analyzer διευκολύνει τον έλεγχο ακεραιότητας αρχείων (FIM) σε πραγματικό χρόνο προστατεύοντας τα ευαίσθητα δεδομένα σας και συμβαδίζοντας με τις απαιτήσεις συμμόρφωσης. Επιτρέπει επίσης την κεντρική παρακολούθηση αλλαγών σε αρχεία και φακέλους από επαγγελματίες ασφάλειας και πολλά άλλα.
User Monitoring: Προσφέρει λεπτομερή reports για την παρακολούθηση της συμπεριφορά των χρηστών. Αυτό διευκολύνει τον εντοπισμό ύποπτης συμπεριφοράς από χρήστες, ακόμα και χρήστες που έχουν προνομιακά δικαιώματα (PUMA). Υπάρχει λεπτομερή πληροφόρηση στα report για τις ενέργειες που έχει υποστεί ένα αρχείο, την ταυτότητα του χρήστη που τις διεξήγαγε, το μηχάνημα server και το workstation/ network device από το οποίο έγινε.
Object Access Auditing: Το EventLog Analyzer μπορεί να μας πει τι έχει συμβεί στα αρχεία και στους φακέλους μας με ακρίβεια – όπως π.χ. αν και ποιος είχε πρόσβαση, αν τα επεξεργάστηκαν, αν τα έσβησαν ή αν τα μετακίνησαν. Το EventLog Analyzer διαθέτει object access reports σε φιλικό format (PDF και CSV) και αποστέλλει ειδοποιήσεις σε περίπτωση που κάποιος μη-εξουσιοδοτημένος χρήστης χρησιμοποιήσει τα ευαίσθητα αρχεία σας σε πραγματικό χρόνο μέσω sms ή email.
Compliance Reports: Η συμμόρφωση είναι το επίκεντρο ενός συστήματος SIEM και με το EventLog Analyzer μπορεί οποιοσδήποτε οργανισμός να εκπληρώσει τις απαιτήσεις που απορρέουν παρακολουθώντας και αναλύοντας τα log από όλες τις δικτυακές συσκευές και εφαρμογές. Το EventLog Analyzer διαθέτει έτοιμα / τυποποιημένα report συμμόρφωσης όπως PCI DSS, FISMA, GLBA, SOX, HIPAA, κλπ. Επιπροσθέτως το EventLog Analyzer μας επιτρέπει να προσαρμόσουμε υπάρχοντα report συμμόρφωσης ή να δημιουργήσουμε νέα για να καλύψουμε τις αυξημένες ανάγκες συμμόρφωσης που θα φέρει η εφαρμογή νέων νόμων.
Log Data Retention: Το EventLog Analyzer κρατάει παλαιότερα log – αναγκαία για διαδικασίες συμμόρφωσης, για την διεξαγωγή εγκληματολογικών ερευνών και εσωτερικού ελέγχου. Η ακεραιότητα των αρχείων διασφαλίζεται με log hash και “σφραγίζονται” με time-stamp για να μην μπορεί κανείς να επέμβει.