INFRASKOPE İLE İNSAN FAKTÖRÜNÜ İZLEYİN
İnsan faktörü güvenlikteki en zayıf halkadır. Saldırı vektörlerinin hepsi insan hatasını kullanır. Sosyal mühendislik, intikam duygusu, espiyonaj, yanlış yazılan bir kod parçacığı… Hepsi insan ve zaaflarını hedef alır.
Biz ürünü geliştirken “ben kötü adam olsaydım…” cümlesiyle hareket ettik. “Bu sistemden nasıl bilgi çalarım?“, “Bu sisteme nasıl zarar verebilirim?“, “Sistem yöneticisinin önlem almadığı alanlar hangileri?” sorularını sorduk. Ülkemizde ve müşterilerimizde yaşanan olaylardan ders alarak ürünümüzü şekillendirdik.
INFRASKOPE LOG YÖNETİM SİSTEMİ
Infraskope, işletim sistemlerini, network cihazlarını ve uygulamaları gözetleyen, bu kaynaklardan topladığı kayıtları sorgulayabilmenizi / analiz edebilmenizi sağlayan ve önemli kayıtlar için uyarı mekanizmalarını çalıştıran bir log yönetim aracıdır.
NEDEN INFRASKOPE?
Bir sürü yerli ve yabancı ürün varken neden Infraskope? Çünkü Infraskope ile aynı zamanda tecrübeyi de satın alırsınız. Hangi işletim sisteminden hangi olayarın toplanması gerektiği, hangilerinin önemli veya önemsiz olduğu, logları toplamak için yapılması gereken alt yapı değişiklikleri ve benzeri bir çok konu hakkında araştırma yapmak zorunda kalmazsınız. Infraskope kuruluduğunda bu kurallar kullanıma hazırdır.
Infraskope Sürümleri
Infraskope farklı ihtiyaçlara yanıt verebilmek için tasarlanmıştır. İster ajanlı, ister ajansız olarak çalışabilen kollektörleri ile hemen hemen tüm senaryolara yanıt verebilirsiniz. Infraskope, kurumsal ve 5651 sürümü olarak iki ayrı şekilde paketlenmiştir.
Sistem Mimarisi | |
---|---|
Ölçeklenebilirlik | Düşey ve Yatay büyüyebilme |
Veri depolama | ElasticSearch (NOSQL) |
Sanallaştırma desteği | Microsoft HyperV ve VMWare ESX |
Agent-to-Server haberleşme | XML Web Services, port 80/443 |
Collector-to-Server haberleşme | TCP 1801 |
Haberleşme güvenliği | SSL 128 bit (isteğe bağlı) |
Log Toplama Yöntemleri | Ajanlı ve Ajansız (Uzaktan) |
Log bütünlüğünü sağlama | Satır bazında hash, X509 sertifika, Nitelikli Zaman Damgası (isteğe bağlı) |
Log Toplama Özellikleri | |
---|---|
Merkezi kural tanımlama | EVET |
Olayı kaynakta filtreleme | EVET (Ajanlı sistemlerde) |
Network kesintisi durumunda depolama ve gönderme | EVET |
Normalizasyon | EVET |
Etiketleme / Sınıflandırma | EVET |
İlişkilendirme (korelasyon) | EVET |
Ajan ve kollektör çalışmasını izleme ve müdahale | EVET |
Uyarı yöntemleri | Görsel (pop-up), E-posta, Uygulama/Script Çalıştırma, SMS gönderme |
Olay içeriğini uyarı parametresi olarak kullanabilme | EVET |
Active Directory bütünleşik parametre çözümleme | EVET |
Kullanıcı ve yöneticisini uyarabilme | EVET |
Sunucu yöneticisini uyarabilme | EVET |
Desteklenen Log Kaynakları | |
---|---|
Microsoft Windows | Windows XP, Windows Vista, Windows 7, Windows 10, Windows Server 2003, Windows Server 2008R2 (32 ve 64 bit), Windows Server 2012R2+ |
UNIX platformu | HP UX, Solaris, RedHat Linux, CentOS, SuSe Linux, Oracle Enterprise Linux, Ubuntu ve diğer yaygın UNIX tabanlı işletim sistemleri |
Network Cihazları | Syslog ve SNMP destekleyen tüm network cihazları |
Firewall / Proxy | EVET |
Etiketleme / Sınıflandırma | Microsoft ISA / TMG Server, SQUID, DansGuardian, CheckPoint, Cisco PIX/FWSM/ASA, Juniper, Fortigate, WebSense, … |
E-Posta Sunucuları | Exchange Server 2003 / 2007/ 2010, Lotus Domino, Qmail, SendMail ve diğer UNIX tabanlı e-posta sunucuları |
Uygulama Sunucuları | IIS 5.0, 6.0, 7.0 formatları, Apache, TomCat, Jboss ve diğer text veya syslog temelli uygulama sunucuları |
Veritabanı Sunucuları | Microsoft SQL Server, Oracle, IBM DB/2, SyBase başta olmak üzere major VTYS uygulamaları |
Saldırı Tespit / Önleme (IDS/IPS) | ISS, Proventia, Snort,ve diğerleri |
Hazır Uyarı Kuralları | |
---|---|
Kullanıcı ve Grup yönetimi | Kullanıcı veya grup yaratıldığında, değişiklik yapıldığında, silindiğinde sistem yöneticilerine uyarı verme. |
Ekran Görüntüsü yakalama | Prnt-Scrn tuşu veya ekran görüntüsü yakalayan uygulamalar ile alınan ekran görüntülerinin merkezi olarak saklanması ve incelenebilmesi. |
USB depolama aygıtları | USB depolama aygıtlarına kopyalanan dosyaların takibi. |
Uygulama Yönetimi | Önceden belirlediğiniz uygulamaların çalıştırılması durumuda sistem yöneticilerine uyarı gönderme ve ilgili uygulamayı durdurma olanağı |
Yeni Ağ Bağlantıları | Kullanıcıların yapacağı ikincil (Modem, GPRS, Bluetooth, Ethernet adaptörü, vb) bağlantıları gerçek zamanlı olarak takip etme. |
Ağ trafiğini dinleme | Ağ trafiğini dinleyen uygulamaların (hangi program olursa olsun), gerçek zamanlı olarak tesbiti ve uyarısı. |
Etki alanında olmayan makinalar | Etki alanında (Domain) olmayan bir makine ile oturum açanların tespiti |
Yetkisiz DHCP Sunucular | Yanlışlıkla (veya kasten) devreye alınan DHCP sunucuların tespiti. |
ARP Spoofing | ARP Spoofing yapılan ve yapan makine hakkında uyarı. |
Yönetici Paylaşımlarının kullanılması | Sistem yöneticilerinin kullanıcı bilgisayarlarına C$, ADMIN$, v.b. ile yapacağı bağlantılarını gerçek zamanlı takip etme ve kullanıcıyı uyarma olanağı |
Envanter / Politika Uyumluluk Yönetimi | |
---|---|
Donanım Envanteri | Bilgisayar ve bağlı cihazların detaylı envanter bilgisinin toplanması (Anakart, bellek, network kartları, disk, grafik kartı, webcam ve scanner, v.b.) |
Yazılım Envanteri | İşletim sistemi bilgileri, yüklü uygulama ve yamalar, kurulum anahtar bilgilerinin toplanması, servisler, registry ayarları, kullanıcılar, gruplar, v.b. |
Donanım değişiklik takibi | Kritik sistem bileşenlerinde oluşacak değişikliklerin (takma, çıkartma, değiştirme) gerçek zamanlı olarak takibi |
Registry değerlerinin takibi | Registry değerlerinin belirli bir değerde olup olmadığının kontrolü |
Dosya / Dizin uyumluluğu | Belirli bir dizinde olan / olmayan dizin ve dosyaların takibi |
Sistem Gereksinimleri
Infraskope Kurulumu için gerekli olan donanım ve yazılım gereksinimleri aşağıda listelenmiştir.
Sunucu Donanımı
- 64bit işlemci
- 16/32/64 GB RAM (küçük / orta / büyük kurulumlar)
- 1280×800 veya daha yüksek çözürünlükte ekran kartı
- 2 x GBIT network kartı
- Sabit Diskler (Fiziksel olarak ayrı disk)
- Sistem: 100GB disk (SATA/SAS/SCSI)
- Kuyruk: 64GB disk (Büyük kurulumlar için SSD önerilir)
- Veritabanı: 500GB+ RAID5 veya NAS/SAN disk alanı (Disk Gereksinimleri bölümünde daha detaylı anlatılmaktadır)
İşletim Sistemi ve Bileşenler
- Windows Server 2012 R2
- Kurulum yapılan sunucunun bulunduğu organizational-unit’e uygulanan GPO’ların sistem bileşenlerini ve erişim haklarının kısıtlamadığından emin olunuz.
- Microsoft .NET Framework 4.5
- Gerekli İşletim Sistemi Bileşenleri
- IIS 7
- MSMQ
- Java Server Runtime (en son sürüm – Infraskope 2016 için gereklidir)
- Microsoft SQL Server Express Edition (2012+)
- Database Engine
- LATIN1_GENERAL_CI_AS Collation
Disk Gereksinimleri
Aşağıdaki tabloda tipik kullanımlar için önerilen disk gereksinimleri gösterilmiştir.
Performans açısından en önemli olan bileşen disk sistemleridir. Özellikler MSMQ servisinin kullanacağı dizinin hızlı bir diskte olması, mümkünse disklerin Write-Cache özelliğinin etkinleştirilmesi önerilir. Büyük kurulumlar için SSD olması şiddetle tavsiye olunur.
NOT: Kullanılan kollektörler bu gereksinimleri değiştirebilir.
Küçük (<1000) |
Orta (1000-2000) |
Büyük (>2000) |
|
---|---|---|---|
İşletim Sistemi + PageFile |
100 GB |
100 GB RAID1 |
100 GB RAID1 |
MSMQ |
64 GB |
64 GB RAID10/SSD |
64 GB RAID10/SSD |
Depolama |
1000+ GB |
2000+ GB RAID5 |
4000 GB+ RAID10 |
ARCHIVE |
Depolama / 3 |
Depolama / 3 |
Depolama / 3 |
Infraskope Collector Framework
Infraskope Collector Framework, Windows EventLog kayıtları dışındaki olayları Infraskope Server veritabanına aktarabilmek için kullanılır.
LOG KAYNAKLARI
Infraskope Collector Framework değişik log kaynaklarından kayıtları okuyabilir. Aşağıda Infraskope Collector Framework tarafından desteklenen kaynaklar listelenmiştir:
- EventLog
- Text file tabanlı loglar (W3C, IIS, LOG, CSV, TXT, TSV, v.s.)
- Syslog (UDP ve TCP)
- SNMP
- WMI
- OPSEC LEA
- Database (MSSQL, ORACLE, MYSQL, ODBC ile diğerleri)
- Özel sistemler (ürüne bağlı özel log toplama yöntemi)
Ücretsiz Kollektör Geliştirme Garantisi
Infraskope tarafından desteklenmeyen bir ürüne sahipseniz, ilgili kollektörü 3 iş günü içerisinde ücretsiz olarak geliştiriyoruz.

NoSQL Arama Motoru
Yatay ve dikey ölçeklenebilir
Coğrafi ve yerel yedekli
Birden fazla birimde dağıtık arama
Otomatik yedekleme ve arşivleme
Hassas Verilerin Otomatik Maskelenmesi
TCKimlik tanıma ve maskeleme
Kredi kartı tanıma ve maskeleme
E-posta tanıma ve maskeleme
RegEx (Regular Expressions) desteği
