INFRASKOPE İLE İNSAN FAKTÖRÜNÜ İZLEYİN

İnsan faktörü güvenlikteki en zayıf halkadır. Saldırı vektörlerinin hepsi insan hatasını kullanır. Sosyal mühendislik, intikam duygusu, espiyonaj, yanlış yazılan bir kod parçacığı… Hepsi insan ve zaaflarını hedef alır.

Biz ürünü geliştirken “ben kötü adam olsaydım…” cümlesiyle hareket ettik. “Bu sistemden nasıl bilgi çalarım?“, “Bu sisteme nasıl zarar verebilirim?“, “Sistem yöneticisinin önlem almadığı alanlar hangileri?” sorularını sorduk. Ülkemizde ve müşterilerimizde yaşanan olaylardan ders alarak ürünümüzü şekillendirdik.

Infraskope Server

INFRASKOPE LOG YÖNETİM SİSTEMİ

Infraskope, işletim sistemlerini, network cihazlarını ve uygulamaları gözetleyen, bu kaynaklardan topladığı kayıtları sorgulayabilmenizi / analiz edebilmenizi sağlayan ve önemli kayıtlar için uyarı mekanizmalarını çalıştıran bir log yönetim aracıdır.

NEDEN INFRASKOPE?

Bir sürü yerli ve yabancı ürün varken neden Infraskope? Çünkü Infraskope ile aynı zamanda tecrübeyi de satın alırsınız. Hangi işletim sisteminden hangi olayarın toplanması gerektiği, hangilerinin önemli veya önemsiz olduğu, logları toplamak için yapılması gereken alt yapı değişiklikleri ve benzeri bir çok konu hakkında araştırma yapmak zorunda kalmazsınız. Infraskope kuruluduğunda bu kurallar kullanıma hazırdır.

Infraskope Sürümleri

Infraskope farklı ihtiyaçlara yanıt verebilmek için tasarlanmıştır. İster ajanlı, ister ajansız olarak çalışabilen kollektörleri ile hemen hemen tüm senaryolara yanıt verebilirsiniz. Infraskope, kurumsal ve 5651 sürümü olarak iki ayrı şekilde paketlenmiştir.

Ürün Özellikleri

Sistem Mimarisi
Ölçeklenebilirlik	Düşey ve Yatay büyüyebilme
Veri depolama	ElasticSearch (NOSQL)
Sanallaştırma desteği	Microsoft HyperV ve VMWare ESX
Agent-to-Server haberleşme	XML Web Services, port 80/443
Collector-to-Server haberleşme	TCP 1801
Haberleşme güvenliği	SSL 128 bit (isteğe bağlı)
Log Toplama Yöntemleri	Ajanlı ve Ajansız (Uzaktan)
Log bütünlüğünü sağlama	Satır bazında hash, X509 sertifika, Nitelikli Zaman Damgası (isteğe bağlı)

Log Toplama Özellikleri
Merkezi kural tanımlama	EVET
Olayı kaynakta filtreleme	EVET (Ajanlı sistemlerde)
Network kesintisi durumunda depolama ve gönderme	EVET
Normalizasyon	EVET
Etiketleme / Sınıflandırma	EVET
İlişkilendirme (korelasyon)	EVET
Ajan ve kollektör çalışmasını izleme ve müdahale	EVET
Uyarı yöntemleri	Görsel (pop-up), E-posta, Uygulama/Script Çalıştırma, SMS gönderme
Olay içeriğini uyarı parametresi olarak kullanabilme	EVET
Active Directory bütünleşik parametre çözümleme	EVET
Kullanıcı ve yöneticisini uyarabilme	EVET
Sunucu yöneticisini uyarabilme	EVET

Desteklenen Log Kaynakları
Microsoft Windows	Windows XP, Windows Vista, Windows 7, Windows 10, Windows Server 2003, Windows Server 2008R2 (32 ve 64 bit), Windows Server 2012R2+
UNIX platformu	HP UX, Solaris, RedHat Linux, CentOS, SuSe Linux, Oracle Enterprise Linux, Ubuntu ve diğer yaygın UNIX tabanlı işletim sistemleri
Network Cihazları	Syslog ve SNMP destekleyen tüm network cihazları
Firewall / Proxy	EVET
Etiketleme / Sınıflandırma	Microsoft ISA / TMG Server, SQUID, DansGuardian, CheckPoint, Cisco PIX/FWSM/ASA, Juniper, Fortigate, WebSense, …
E-Posta Sunucuları	Exchange Server 2003 / 2007/ 2010, Lotus Domino, Qmail, SendMail ve diğer UNIX tabanlı e-posta sunucuları
Uygulama Sunucuları	IIS 5.0, 6.0, 7.0 formatları, Apache, TomCat, Jboss ve diğer text veya syslog temelli uygulama sunucuları
Veritabanı Sunucuları	Microsoft SQL Server, Oracle, IBM DB/2, SyBase başta olmak üzere major VTYS uygulamaları
Saldırı Tespit / Önleme (IDS/IPS)	ISS, Proventia, Snort,ve diğerleri

Hazır Uyarı Kuralları
Kullanıcı ve Grup yönetimi	Kullanıcı veya grup yaratıldığında, değişiklik yapıldığında, silindiğinde sistem yöneticilerine uyarı verme.
Ekran Görüntüsü yakalama	Prnt-Scrn tuşu veya ekran görüntüsü yakalayan uygulamalar ile alınan ekran görüntülerinin merkezi olarak saklanması ve incelenebilmesi.
USB depolama aygıtları	USB depolama aygıtlarına kopyalanan dosyaların takibi.
Uygulama Yönetimi	Önceden belirlediğiniz uygulamaların çalıştırılması durumuda sistem yöneticilerine uyarı gönderme ve ilgili uygulamayı durdurma olanağı
Yeni Ağ Bağlantıları	Kullanıcıların yapacağı ikincil (Modem, GPRS, Bluetooth, Ethernet adaptörü, vb) bağlantıları gerçek zamanlı olarak takip etme.
Ağ trafiğini dinleme	Ağ trafiğini dinleyen uygulamaların (hangi program olursa olsun), gerçek zamanlı olarak tesbiti ve uyarısı.
Etki alanında olmayan makinalar	Etki alanında (Domain) olmayan bir makine ile oturum açanların tespiti
Yetkisiz DHCP Sunucular	Yanlışlıkla (veya kasten) devreye alınan DHCP sunucuların tespiti.
ARP Spoofing	ARP Spoofing yapılan ve yapan makine hakkında uyarı.
Yönetici Paylaşımlarının kullanılması	Sistem yöneticilerinin kullanıcı bilgisayarlarına C$, ADMIN$, v.b. ile yapacağı bağlantılarını gerçek zamanlı takip etme ve kullanıcıyı uyarma olanağı

Envanter / Politika Uyumluluk Yönetimi
Donanım Envanteri	Bilgisayar ve bağlı cihazların detaylı envanter bilgisinin toplanması (Anakart, bellek, network kartları, disk, grafik kartı, webcam ve scanner, v.b.)
Yazılım Envanteri	İşletim sistemi bilgileri, yüklü uygulama ve yamalar, kurulum anahtar bilgilerinin toplanması, servisler, registry ayarları, kullanıcılar, gruplar, v.b.
Donanım değişiklik takibi	Kritik sistem bileşenlerinde oluşacak değişikliklerin (takma, çıkartma, değiştirme) gerçek zamanlı olarak takibi
Registry değerlerinin takibi	Registry değerlerinin belirli bir değerde olup olmadığının kontrolü
Dosya / Dizin uyumluluğu	Belirli bir dizinde olan / olmayan dizin ve dosyaların takibi

Sistem Gereksinimleri

Sistem Gereksinimleri

Infraskope Kurulumu için gerekli olan donanım ve yazılım gereksinimleri aşağıda listelenmiştir.

Sunucu Donanımı

64bit işlemci
16/32/64 GB RAM (küçük / orta / büyük kurulumlar)
1280×800 veya daha yüksek çözürünlükte ekran kartı
2 x GBIT network kartı
Sabit Diskler (Fiziksel olarak ayrı disk)
- Sistem: 100GB disk (SATA/SAS/SCSI)
- Kuyruk: 64GB disk (Büyük kurulumlar için SSD önerilir)
- Veritabanı: 500GB+ RAID5 veya NAS/SAN disk alanı (Disk Gereksinimleri bölümünde daha detaylı anlatılmaktadır)

İşletim Sistemi ve Bileşenler

Windows Server 2012 R2
- Kurulum yapılan sunucunun bulunduğu organizational-unit’e uygulanan GPO’ların sistem bileşenlerini ve erişim haklarının kısıtlamadığından emin olunuz.
Microsoft .NET Framework 4.5
Gerekli İşletim Sistemi Bileşenleri
- IIS 7
- MSMQ
Java Server Runtime (en son sürüm – Infraskope 2016 için gereklidir)
Microsoft SQL Server Express Edition (2012+)
- Database Engine
- LATIN1_GENERAL_CI_AS Collation

Disk Gereksinimleri

Aşağıdaki tabloda tipik kullanımlar için önerilen disk gereksinimleri gösterilmiştir.

Performans açısından en önemli olan bileşen disk sistemleridir. Özellikler MSMQ servisinin kullanacağı dizinin hızlı bir diskte olması, mümkünse disklerin Write-Cache özelliğinin etkinleştirilmesi önerilir. Büyük kurulumlar için SSD olması şiddetle tavsiye olunur.

NOT: Kullanılan kollektörler bu gereksinimleri değiştirebilir.

	Küçük (<1000)	Orta (1000-2000)	Büyük (>2000)
İşletim Sistemi + PageFile	100 GB	100 GB RAID1	100 GB RAID1
MSMQ	64 GB	64 GB RAID10/SSD	64 GB RAID10/SSD
Depolama	1000+ GB	2000+ GB RAID5	4000 GB+ RAID10
ARCHIVE	Depolama / 3	Depolama / 3	Depolama / 3

Kollektörler

Infraskope Collector Framework

Infraskope Collector Framework, Windows EventLog kayıtları dışındaki olayları Infraskope Server veritabanına aktarabilmek için kullanılır.

LOG KAYNAKLARI

Infraskope Collector Framework değişik log kaynaklarından kayıtları okuyabilir. Aşağıda Infraskope Collector Framework tarafından desteklenen kaynaklar listelenmiştir: