INFRASKOPE İLE İNSAN FAKTÖRÜNÜ İZLEYİN

İnsan faktörü güvenlikteki en zayıf halkadır. Saldırı vektörlerinin hepsi insan hatasını kullanır. Sosyal mühendislik, intikam duygusu, espiyonaj, yanlış yazılan bir kod parçacığı… Hepsi insan ve zaaflarını hedef alır.

Biz ürünü geliştirken “ben kötü adam olsaydım…” cümlesiyle hareket ettik. “Bu sistemden nasıl bilgi çalarım?“, “Bu sisteme nasıl zarar verebilirim?“, “Sistem yöneticisinin önlem almadığı alanlar hangileri?” sorularını sorduk. Ülkemizde ve müşterilerimizde yaşanan olaylardan ders alarak ürünümüzü şekillendirdik.

INFRASKOPE LOG YÖNETİM SİSTEMİ

Infraskope, işletim sistemlerini, network cihazlarını ve uygulamaları gözetleyen, bu kaynaklardan topladığı kayıtları sorgulayabilmenizi / analiz edebilmenizi sağlayan ve önemli kayıtlar için uyarı mekanizmalarını çalıştıran bir log yönetim aracıdır.

NEDEN INFRASKOPE?

Bir sürü yerli ve yabancı ürün varken neden Infraskope? Çünkü Infraskope ile aynı zamanda tecrübeyi de satın alırsınız. Hangi işletim sisteminden hangi olayarın toplanması gerektiği, hangilerinin önemli veya önemsiz olduğu, logları toplamak için yapılması gereken alt yapı değişiklikleri ve benzeri bir çok konu hakkında araştırma yapmak zorunda kalmazsınız. Infraskope kuruluduğunda bu kurallar kullanıma hazırdır.

Infraskope Sürümleri

Infraskope farklı ihtiyaçlara yanıt verebilmek için tasarlanmıştır. İster ajanlı, ister ajansız olarak çalışabilen kollektörleri ile hemen hemen tüm senaryolara yanıt verebilirsiniz. Infraskope, kurumsal ve 5651 sürümü olarak iki ayrı şekilde paketlenmiştir.

Sistem Mimarisi
Ölçeklenebilirlik Düşey ve Yatay büyüyebilme
Veri depolama ElasticSearch (NOSQL)
Sanallaştırma desteği Microsoft HyperV ve VMWare ESX
Agent-to-Server haberleşme XML Web Services, port 80/443
Collector-to-Server haberleşme TCP 1801
Haberleşme güvenliği SSL 128 bit (isteğe bağlı)
Log Toplama Yöntemleri Ajanlı ve Ajansız (Uzaktan)
Log bütünlüğünü sağlama Satır bazında hash, X509 sertifika, Nitelikli Zaman Damgası (isteğe bağlı)
Log Toplama Özellikleri
Merkezi kural tanımlama EVET
Olayı kaynakta filtreleme EVET (Ajanlı sistemlerde)
Network kesintisi durumunda depolama ve gönderme EVET
Normalizasyon EVET
Etiketleme / Sınıflandırma EVET
İlişkilendirme (korelasyon) EVET
Ajan ve kollektör çalışmasını izleme ve müdahale EVET
Uyarı yöntemleri Görsel (pop-up), E-posta, Uygulama/Script Çalıştırma, SMS gönderme
Olay içeriğini uyarı parametresi olarak kullanabilme EVET
Active Directory bütünleşik parametre çözümleme EVET
Kullanıcı ve yöneticisini uyarabilme EVET
Sunucu yöneticisini uyarabilme EVET
Desteklenen Log Kaynakları
Microsoft Windows Windows XP, Windows Vista, Windows 7, Windows 10, Windows Server 2003, Windows Server 2008R2 (32 ve 64 bit), Windows Server 2012R2+
UNIX platformu HP UX, Solaris, RedHat Linux, CentOS, SuSe Linux, Oracle Enterprise Linux, Ubuntu ve diğer yaygın UNIX tabanlı işletim sistemleri
Network Cihazları Syslog ve SNMP destekleyen tüm network cihazları
Firewall / Proxy EVET
Etiketleme / Sınıflandırma Microsoft ISA / TMG Server, SQUID, DansGuardian, CheckPoint, Cisco PIX/FWSM/ASA, Juniper, Fortigate, WebSense, …
E-Posta Sunucuları Exchange Server 2003 / 2007/ 2010, Lotus Domino, Qmail, SendMail ve diğer UNIX tabanlı e-posta sunucuları
Uygulama Sunucuları IIS 5.0, 6.0, 7.0 formatları, Apache, TomCat, Jboss ve diğer text veya syslog temelli uygulama sunucuları
Veritabanı Sunucuları Microsoft SQL Server, Oracle, IBM DB/2, SyBase başta olmak üzere major VTYS uygulamaları
Saldırı Tespit / Önleme (IDS/IPS) ISS, Proventia, Snort,ve diğerleri
Hazır Uyarı Kuralları
Kullanıcı ve Grup yönetimi Kullanıcı veya grup yaratıldığında, değişiklik yapıldığında, silindiğinde sistem yöneticilerine uyarı verme.
Ekran Görüntüsü yakalama Prnt-Scrn tuşu veya ekran görüntüsü yakalayan uygulamalar ile alınan ekran görüntülerinin merkezi olarak saklanması ve incelenebilmesi.
USB depolama aygıtları USB depolama aygıtlarına kopyalanan dosyaların takibi.
Uygulama Yönetimi Önceden belirlediğiniz uygulamaların çalıştırılması durumuda sistem yöneticilerine uyarı gönderme ve ilgili uygulamayı durdurma olanağı
Yeni Ağ Bağlantıları Kullanıcıların yapacağı ikincil (Modem, GPRS, Bluetooth, Ethernet adaptörü, vb) bağlantıları gerçek zamanlı olarak takip etme.
Ağ trafiğini dinleme Ağ trafiğini dinleyen uygulamaların (hangi program olursa olsun), gerçek zamanlı olarak tesbiti ve uyarısı.
Etki alanında olmayan makinalar Etki alanında (Domain) olmayan bir makine ile oturum açanların tespiti
Yetkisiz DHCP Sunucular Yanlışlıkla (veya kasten) devreye alınan DHCP sunucuların tespiti.
ARP Spoofing ARP Spoofing yapılan ve yapan makine hakkında uyarı.
Yönetici Paylaşımlarının kullanılması Sistem yöneticilerinin kullanıcı bilgisayarlarına C$, ADMIN$, v.b. ile yapacağı bağlantılarını gerçek zamanlı takip etme ve kullanıcıyı uyarma olanağı
Envanter / Politika Uyumluluk Yönetimi
Donanım Envanteri Bilgisayar ve bağlı cihazların detaylı envanter bilgisinin toplanması (Anakart, bellek, network kartları, disk, grafik kartı, webcam ve scanner, v.b.)
Yazılım Envanteri İşletim sistemi bilgileri, yüklü uygulama ve yamalar, kurulum anahtar bilgilerinin toplanması, servisler, registry ayarları, kullanıcılar, gruplar, v.b.
Donanım değişiklik takibi Kritik sistem bileşenlerinde oluşacak değişikliklerin (takma, çıkartma, değiştirme) gerçek zamanlı olarak takibi
Registry değerlerinin takibi Registry değerlerinin belirli bir değerde olup olmadığının kontrolü
Dosya / Dizin uyumluluğu Belirli bir dizinde olan / olmayan dizin ve dosyaların takibi

Sistem Gereksinimleri

Infraskope Kurulumu için gerekli olan donanım ve yazılım gereksinimleri aşağıda listelenmiştir.

Sunucu Donanımı

  • 64bit işlemci
  • 16/32/64 GB RAM (küçük / orta / büyük kurulumlar)
  • 1280×800 veya daha yüksek çözürünlükte ekran kartı
  • 2 x GBIT network kartı
  • Sabit Diskler (Fiziksel olarak ayrı disk)
    • Sistem: 100GB disk (SATA/SAS/SCSI)
    • Kuyruk: 64GB disk (Büyük kurulumlar için SSD önerilir)
    • Veritabanı: 500GB+ RAID5 veya NAS/SAN disk alanı (Disk Gereksinimleri bölümünde daha detaylı anlatılmaktadır)

İşletim Sistemi ve Bileşenler

  • Windows Server 2012 R2
    • Kurulum yapılan sunucunun bulunduğu organizational-unit’e uygulanan GPO’ların sistem bileşenlerini ve erişim haklarının kısıtlamadığından emin olunuz.
  • Microsoft .NET Framework 4.5
  • Gerekli İşletim Sistemi Bileşenleri
    • IIS 7
    • MSMQ
  • Java Server Runtime (en son sürüm – Infraskope 2016 için gereklidir)
  • Microsoft SQL Server Express Edition (2012+)
    • Database Engine
    • LATIN1_GENERAL_CI_AS Collation

Disk Gereksinimleri

Aşağıdaki tabloda tipik kullanımlar için önerilen disk gereksinimleri gösterilmiştir.

Performans açısından en önemli olan bileşen disk sistemleridir. Özellikler MSMQ servisinin kullanacağı dizinin hızlı bir diskte olması, mümkünse disklerin Write-Cache özelliğinin etkinleştirilmesi önerilir. Büyük kurulumlar için SSD olması şiddetle tavsiye olunur.

NOT: Kullanılan kollektörler bu gereksinimleri değiştirebilir.

Küçük (<1000)
Orta (1000-2000)
Büyük (>2000)
İşletim Sistemi + PageFile
100 GB
100 GB RAID1
100 GB RAID1
MSMQ
64 GB
64 GB RAID10/SSD
64 GB RAID10/SSD
Depolama
1000+ GB
2000+ GB RAID5
4000 GB+ RAID10
ARCHIVE
Depolama / 3
Depolama / 3
Depolama / 3

Infraskope Collector Framework

Infraskope Collector Framework, Windows EventLog kayıtları dışındaki olayları Infraskope Server veritabanına aktarabilmek için kullanılır.

LOG KAYNAKLARI

Infraskope Collector Framework değişik log kaynaklarından kayıtları okuyabilir. Aşağıda Infraskope Collector Framework tarafından desteklenen kaynaklar listelenmiştir:

  • EventLog
  • Text file tabanlı loglar (W3C, IIS, LOG, CSV, TXT, TSV, v.s.)
  • Syslog (UDP ve TCP)
  • SNMP
  • WMI
  • OPSEC LEA
  • Database (MSSQL, ORACLE, MYSQL, ODBC ile diğerleri)
  • Özel sistemler (ürüne bağlı özel log toplama yöntemi)

Ücretsiz Kollektör Geliştirme Garantisi

Infraskope tarafından desteklenmeyen bir ürüne sahipseniz, ilgili kollektörü 3 iş günü içerisinde ücretsiz olarak geliştiriyoruz.

NoSQL Arama Motoru

  • Yatay ve dikey ölçeklenebilir

  • Coğrafi ve yerel yedekli

  • Birden fazla birimde dağıtık arama

  • Otomatik yedekleme ve arşivleme

Hassas Verilerin Otomatik Maskelenmesi

  • TCKimlik tanıma ve maskeleme

  • Kredi kartı tanıma ve maskeleme

  • E-posta tanıma ve maskeleme

  • RegEx (Regular Expressions) desteği