سامانه بومی مدیریت رخدادها و تهدیدات امنیتی CoreLog

corelog-smallامروزه با افزایش حجم اطلاعات امنیتی و گسترش انواع محصولات مورد استفاده شرکت ها نیاز به یک کنترل متمرکز در سازمان ها برای پایش رخدادهای سازمان وجود دارد. علاوه بر لزوم مرور فایل‌های  ثبت رخداد‌ در بررسی مطابقت با استانداردهای امنیتی نیاز به نرم افزاری که اتفاق رخدادهای مورد نظر  و مهم را به راهبر شبکه اطلاع دهد، بسیار مهم است. به علاوه تحلیل رخداد به صورت بی‌درنگ و نیز بررسی خودکار رخدادها در مواردی که رخدادها حجم عظیمی را تشکیل می دهند، از اهمیت به سزایی برخوردار است. سامانه بومی CoreLog برای پاسخ به این نیاز فوری سازمان ها توسعه یافته است.
در صورت نیاز به اطلاعات بیشتر با ما تماس بگیرید.

  • CoreLog در رسانه ها
    خبرگزاری فناوری اطلاعات ایران
    30 بهمن 91
    خبرگزاری تخصصی حوزه امنیت فضای تولید و تبادل اطلاعات
    7 اسفند 91
    خبرگزاری خلیج فارس
    7 اسفند 91
    آپای دانشگاه جامع امام حسین(ع)
    1 اسفند 91
    پایگاه خبری اوشیدا
    1 اسفند 91

    مقالات زیر اطلاعات جامع و کاملی در خصوص "سامانه های مدیریت رخداد و اطلاعات امنیتی" ارائه می کند:
    کالبد شناسی حملات سایبری
    10 گام برای تشخیص زود هنگام حوادث امنیتی
    مدیریت log ها و رخدادهای امنیتی
    راهکاری جامع برای مدیریت رخدادها
    ضرورت ایجاد مرکز عملیات امنیت از نگاه پدافند غیرعامل
    پنج مساله مهم در تهیه و استقرار سامانه های مدیریت رخدادها و تهدیدات امنیتی - بخش اول...
    پنج مساله مهم در تهیه و استقرار سامانه های مدیریت رخدادها و تهدیدات امنیتی- بخش دوم...
    هوشمندی امنیتی در مدیریت یکپارچه داده های حجیم

    همچنین مشاهده این ویدئو توصیه می شود.

    مشاهده ویدئوبا کیقیت بالا
  • مزایای استفاده از سامانه مدیریت رخدادها و تهدیدات امنیتی CoreLog در سازمان :
    • شناخت حوادث امنیتی
    • شناخت موارد تخلف از سیاست‌ها
    • شناخت فعالیت های جعل هویت و نفوذ
    • شناخت مشکلات عملیاتی
    • تحلیل های کارآگاهی (بررسی علت حوادث)
    • پشتیبانی از بازرسی‌های داخل سازمانی
    • ایجاد baseline‌ها و روند طبیعی
    • شناخت روند عملیاتی سازمان
    • شناخت مشکلات بلند‌مدت سازمانی
  • قابلیت های CoreLog در یک نگاه

    جمع آوری و نگهداری انواع Log های تجهیزات و سرویس های شبکه

    core-log-1 small
    • قابلیت جمع آوری Log از تجهیزات متداول مانند مسیریاب‌هاو دیوارآتش و سامانه‌های تشخیص نفوذ مانند تجهیزات Cisco, Juniper, …
    • قابلیت جمع آوری Log از سرویس‌های مختلف شبکه مانند IIS, Apache, ...
    • قابلیت افزایش و گسترش پایگاه داده Log‌ها برای سازگاری با انواع سرویس ها و کاربردها و تجهیزات غیرمتداول توسعه داده شده توسط شرکت های طرف سوم

    امکان بررسی همبستگی رخدادها براساس قوانین از پیش تعریف شده

    core-log-1 small
    • ایجاد قالب مشترک Log‌ها برای تطبیق با قوانین سامانه
    • تطبیق Logها با سناریوهای تعریف شده در قالب قوانین مرحله به مرحله
    • تعریف بیش از 40 سناریو  پیش فرض
    • صدور هشدار برای راهبران شبکه در صورت حمله توسط نفوذگران و یا در صورت اتفاق خاصی که راهبر منتظر وقوع آن است

    گزارش گیری متمرکز

    core-log-1 small
    • ایجاد گزارش از Logها براساسIP, Port, Sensor, Collector, Log Type  و ...
    • تولید نمودارهای آماری نقطه ای و براساس پراکندگی روی تمام فیلدهای موجود در Log
    • گزارش دارایی های شبکه براساس اهمیت، ترافیک، درصد دسترسی‌پذیری، تعداد رخدادها، تعداد حوادث، اهمیت حوادث و ...

    پایش شبکه

    • پایش شبکه یا Network Monitoring شامل نظارت بر پارامترهای کارایی مانند دسترسی پذیری(Availability)
    • قابلیت تعریف قوانین براساس پارامترهای کارایی در  قوانین سناریوها

    امکان انجام عملیات کارآگاهی روی Log

    core-log-3 small
    • امکان ذخیره سازی رخدادها برای مدت  طولانی  و در پایگاه داده های بزرگ
    • امکان جستجو روی فیلد های مختلف Log در پایگاه داده Logها  
    • انجام عملیات Log aggregation برای فشرده سازی پایگاه داده Logها

    امکان مدیریت حوادث

    • تولید خودکار هشدارهای امنیتی
    • امکان پیگیری حوادث با استفاده از یک سامانه Ticketing قوی
    • امکان ذخیره راهکارها و دانش بوجود آمده در Knowledge DB برای استفاده های بعدی

    امکان پاسخ خودکار

    • امکان block کردن ترافیک مربوط به یک حمله کننده به صورت خودکار
    • امکان محدود کردن ترافیک مربوط به یک نهاد مظنون به عملیات مشکوک به صورت خودکار
     
  • فهرست تجهیزات
    فهرست انواع تجهیزاتی که CoreLog آن‌ها را به عنوان حسگر و منبع تولید log قبول کرده و رخدادهای مربوط به آن‌ها را دریافت می کند.
    • Anti-Virus/Anti-Spam
    • Application VA Scanners
    • Applications
    • Content Security
    • Data Security
    • Databases
    • Firewalls
    • IDS/IPS - Host Based
    • IDS/IPS - Network Based
    • Integrated Security
    • Mail Filtering
    • Mail Server
    • Mainframe
    • Network Access Control
    • Network Management
    • Network Monitoring
    • Network Traffic Analysis
    • Network Traffic Management
    • Operating Systems
    • Routers
    • Security Management
    • Switches
    • VPNs
    • Vulnerability Management
    • Web Cache
    • Web Filtering
    • Web Server
    • Wireless
     
  • گزارش گیری در CoreLog
    گزارش گیری در CoreLog با استفاده از داشبورد ها، نمودار ها و نیز جستجوهای قابل تعریف ساده و کارآمد است. نمونه گزارش های قابل ارائه در زیر آمده است :
    • all events
    • all events by server device
    • all events by network device
    • all events by security device
    • all events by disabled sensors
    • all events by enabled sensors
    • all events by protocol
    • all events by specific OS
    • Average/Max event rate ( Today, Yesterday, Optional)
    • Average/Max event rate by sensor( Today, Yesterday, Optional)
    • Top events
    • Top events by server device
    • Top events by network device
    • Top events by security device
    • Top events by disabled sensors
    • Top events by enabled sensors
    • Top sensors by collectors
    • Top events by collectors
    • Top events by protocol
    • Top events by specific OS
    • Sensor summary
    • device summary
    • Top destination ports
    • Top source ports
    • Top destination IPs
    • Top source IPs
    • All subnets by Importance
    • Top logins
    • Top Failed logins
    • Top Successful logins
    • Top Configuration change
    • Top source destination pairs
    • Top Important devices
    • Top events of important devices
    • Top interfaces in log
    • Top usernames in log
    • Top important sensor logs
    • Top access list denied
    • Top Accounts created
    • Top Accounts deleted
    • Top Accounts deleted by host
    • Asset startup and shutdown
    • Device configuration event
    • Password changes
    • Denied connections by host
    • Denied connections by port
    • Denied connections by hour
    • Net device critical events
    • Net device errors
    • Net device interface down
    • Net device interface status
    • Net device SNMP authentication failure
     
  • مراحل پیاده سازی
    • تعیین تجهیزات مرتبط با جمع آوری رخدادها
    • مشخص کردن سیاست های جمع آوری رخداد
    • مشخص کردن ظرفیت مورد نیاز برای مدیریت رخدادها
    • استقرار سامانه مدیریت رخداد
    • دریافت بازخورد از مشتری