Yeni çıkan 5651 kanunu ile birlikte IT dünyasındabir log toplama endişesi başladı. Tabi bir çok üründe bu endişeden oluşan pazarda kendine yer aramaya devam ediyor. Şimdiye kadar gördüğüm log toplama ve kolerasyon uygulamaları bana çok karmaşık ve etkisiz görünüyordu taa ki, Karmasis’in yazılımı olan Infraskope’i görene kadar.

Infraskope

Türkiye’den de bu tarz yazılımların çıkması aslında istenildiği zaman silikon vadisini aratmayan senaryoların gerçekleşebileceğini gösteriyor. Infraskope temelde her türlü logu alabilen ve bunları size tatminkar bir şekilde sunabilen bir üründür. Çok tanıdık bir cümle değilmi? (Bu klasmanda her ürünün idda edip te gerçekleştiremediği slogan)

Adını “Infrastructure Skope” dan alan Infraskope,  sizi binlerce logla boğuşmak yerine önemli olanları görmenizi ve toplamanızı sağlıyor. En güzel özelliği ise cihaz / işletim sistemi / platform & uygulama bağımsız çalışması. Öyle ki syslogu hakkında hiçbir ürünün yorum bile yapamadığı INSIGTHX hakkında 30 dk lık bir zaman sonunda aklınıza gelecek her alarmı oluşturmanız (buna sms te dahil) ve logları anlaşılır şekide parse etmeniz mümkün.

Ürünün en can alıcı özelliği logları nerden nasıl ve ne zaman alacağını bilmesi. Windows platformda agent’ları sayesinde bütün eventleri, Windows eventlerinden bağımsız olarak almanız mümkün. Ayrıca sensörleri sayesinde syslog (evet çoğunu defaultta destekliyor) , snmp (OID desteği ile), IIS logları (agent ına ait), websense logları, üzerindeki agent ile url logları (port mirror), ISA logları, SMTP logları (korsan smtp server yakalamak için ideal),  Checkpoint logları, DHCP (işletim sistemi, cihaz bağımsız) logları, MSN logları . . . (cümleyi kapatmadım çünkü bu yazı yazılırken eminim bir agent daha yazılmıştır. )

Infraskope logları iki şekilde saklıyor. Birisi rapoları çıkardığınız sql database, diğeri  file hali ki iki türdede şifreleme yapılıyor. Burada file saklama size belirli bir tarih aralığındaki raporları DB yi şişirmeme lüksünü veriyor.

Bu raporlar arasında;

  • Seçilen zaman aralığında kimler çevrimiçiydi?
  • Seçilen zaman aralığında network üzerinde kaç tane başarısız oturum açma girişimi meydana geldi?
  • Seçilen zaman aralıklarında hangi kullanıcılar şifresini başarıyla değiştirdi?
  • Seçilen zaman aralığında hangi kullanıcılar şifresini değiştirmek istedi fakat başarılı olamadı?
  • Seçilen zaman aralığında  hangi hesaplar silindi ya da görünmez oldu?
  • Hangi hesaplar etki alanı yönetici grubuna eklendi?
  • Seçilen zaman aralığında hangi kullanıcılar güvenlik hesap logunu temizledi?
  • Seçilen zaman aralığında kaç adet kullanıcı sistem saatini değiştirdi?
  • Seçilen zaman aralığında işlemler kaç adet kritik olay yarattı?
  • Seçilen zaman aralığında kaç adet hata olayı meydana geldi?
  • Seçilen zaman aralığında uyarıları tetikleyen olaylar neydi?
  • Taşınabilir bellek kullananlar kimler?
  • Kim ortak güvenlik duvarını aşabilmek için ek network arayüzü kurdu?
  • Kim hangi uygulamayı çalıştırdı?
  • Kim belirli dokümana erişebildi?
  • Kim belirli dokümanı sildi?
  • Birisi şifreleri ele geçirmek için casus program kullanıyor mu?
  • Hangi bilgisayarlara belirli güvenlik paketleri yüklenmemiş?
  • Hangi bilgisayarlara modem yüklenmiş?
  • Kurum yapısında herhangi bir kablosuz ulaşım noktası var mı?
  • Kurum networkünde izinsiz bir DHCP sunucu var mı?
  • Kim hangi ekran görüntüsünü ele geçirdi?
    		•

    gibi IT çalışanlarının ağzının suyunu akıtan template ler mevcut :)

    Biraz Infrastructre yapısına değinirsek; aşağıdaki gibi bir topoloji gerçekeyebilirsiniz.

    Site yapınıza uygun olarak WAN hatlarınızı yormadan loglarınızı toplayabiliyor ve gece yarısı merkez sunucunuza bir kopyasını gönderebiliyorsunuz. Üstelik ara cihazlar öyle abartı donanım falan da istemiyor.

    Infraskope’in en güzel özelliklerinden biriside oluşan eventlere tepkile verebilmeniz. Örneğin herhangi bir bilgisyarda bittorrent.exe açılırsa prosesi “kill” etme şansınız bulunuyor. Ya da bir yazıcıdan kim neyin çıktısını almış, kim cd ye hangi dosyaları kopyalamış öğrenebiliyorsunuz. Üstelik barındırdığı script ler sayseninde her yazıcı için audit açmanıza gerek kalmıyor.

    Karmasis sürekli yeni agent yayınlıyor ve bu yeni özellikli agent leri sisteminize entegre etmek çok kolay. Bir başka dikkat çeken özelliği ise uzak kod ile msi silent paket kurmanıza imkan veriyor.

    Özellikle çoklu cihaz / işletim sistemi / uygulama logları ile başınız dertte ise ürünü denemenizi tavsiye ederim. Ürünün orjinal sitesi http://www.karmasis.com ve kısaca özellikleri

    • Platform – uygulama bağımsız log toplama
    • Geniş agent yeplazesi (IIS, Websense, ISA, Checkpoint, DHCP, Windows Ailesi, Juniper, Unix . . .)
    • Kolay oluşturulan kişesel log toplama ve alarm kuralları (Kolay query kullanımı)
    • Tatminkar raporlar (yok yok gibi :) )
    • Donanım, yazılım envarteri (eksik update tespiti, tüm donanım bilgileri)
    • SMS atma desteği (Kritik alertleri SMS ile bildirme)
    • Uzaktan kod yürütme desteği (Paket entegrasyonu)
    • Agent sayesinde uzak bilgisayara mesaj atma desteği
    • Hash edilmiş DB (kriptolu db ile log değiştirme artık imkansız)
    • Şifreli log saklama (imzalı zipleme ile log doğrulama)
    • Türk yazılımı ve hızlı destek

    Son olarak mesajımız “Yerli malı yurdun malı. Herkes onu kullanmalı :)