مشاوره رایگان

معرفی ماژول های سامانه کورلاگ

در این صفحه به معرفی و توضیح کلی ماژول های مختلف سامانه کورلاگ می پردازیم؛ با کلیک بر روی هر کدام از عناوین، صفحه اختصاصی ماژول موردنظر را مشاهده نمایید.

System Configuration

یکی از ماژول های مهم سامانه کورلاگ System Configuration بوده که در آن تنظیمات سیستمی سامانه اعمال می گردد.

Account Management

سامانه کورلاگ در رابط کاربری وب خود دارای ماژولی به نام Account Management می‌باشد که به منظور مدیریت کاربرانی که به سامانه کورلاگ لاگین کرده و نیازهای کاربری خود را از طریق ماژول های نرم افزاریِ آن مرتفع می سازند مورد استفاده قرار می گیرد. به صورت کلی سامانه کورلاگ دارای دو رابط کاربری Web UI و رابط کاربری خط فرمان بوده که هر کدام امکانات متفاوتی را برای مدیریت سامانه در اختیار کاربر قرار می دهد.

CMDB

Configuration Management Data Base یا به اختصار CMDB مکانی است که درآن اطلاعات پایه در خصوص تجهیزات، Networkها، کاربران، پورت ها و … پیکربندی می شود. با تنظیم CMDB این امکان به سامانه کورلاگ داده می شود تا اطلاعات جامعی در خصوص موارد ذکر شده داشته باشد. پیکربندی CMDB به عنوان اولین قدم در نصب و راه اندازی سامانه کورلاگ بسیار حائز اهمیت است.

Policy Management

از ماژول Policy Management به چند منظور استفاده می شود:

  • تعریف نویز به منظور عدم ذخیره Event و Raw log در پایگاه داده
  • انجام یک عمل خاص در صورت دریافت یک رخداد خاص (ارسال ایمیل، SMS ، اجرای یک دستور)
  • ارسال و یا عدم ارسال لاگ به موتور Correlation
  • اعمال محدودیت زمانی در مورد ذخیره رخدادهای مختلف

Event Investigation

ماژول Event Investigation در سامانه کورلاگ مکانی است که به چهار سئوال اساسی پاسخ می دهد، چه کسی، چه کاری را، کی و کجا انجام داده است. کاربر در این ماژول به دنبال تحلیل و مشاهده رخداد­ها و پارامترهای مختلف آن است. نمایش پارامترهای مختلف رخداد­های دریافت شده، شمارش آیتم­ های مختلف، به صورت صعودی یا نزولی، انتخاب ستون­های قابل نمایش، تنظیم بازه ­های زمانی مختلف برای جستجو، تنظیم تعداد رخداد­های نمایش داده شده، فیلترینگ پارامترهای مختلف، تنظیم شروط به منظور مشاهده یک رشته کاراکتر خاص داخل پارامترها و … همه از امکاناتی است که این ماژول در اختیار کاربر قرار می دهد.

System Log

در سامانه کورلاگ رخدادهای مختلف در 3 ماژول Inventory Management ، Event Investigation و System log قابل مشاهده است. رخدادهای Event Investigation مربوط به دیوایس های Add شده در CMDB است. رخدادهای مربوط به تغییرات نرم افزاری و سخت افزاریِ یک سرور ویندوزی، توسط Agent نصب شده بر روی آن شناسایی و ارسال شده و در ماژول Inventory Management مشاهده می گردد. همچنین رخدادهایی که توسط سامانه تولید شده و از تغییرات نرم افزاری و سخت افزاریِ سامانه ی کورلاگ خبر می دهد در ماژول System log قابل مشاهده است. در این سند سعی بر آن است قابلیت های مختلف ماژول مذکور مورد بررسی قرار گیرد. ین ماژول شامل 2 تب Events و Agent Logs می باشد. در واقع رخدادهای مربوط به Agent ها (آپدیت، نصب، خطای نصب، نصب موفق و ناموفق …) در تب Agent Logs تفکیک شده است.

Incident Management

یکی از با ارزش ترین قسمتهای طراحی شده در سامانه کورلاگ Incident Management می باشد. پس از گردآوری اطلاعات تجهیزات و دارایی های سازمان، تحلیل داده ها و آماده سازی گزارشات و داشبوردها، این قسمت وظیفه دارد تا نسبت به رخدادهای پیچیده واکنش نشان داده و کاربران ارشد را از رخدادهای مخاطره آمیز آگاه سازد.

Report Management

با استفاده از ابزار New Report Management امکان ایجاد گزارشات با شرط­ ها و آیتم­ های مختلف فراهم می باشد. همچنین می­ توان برای گزارشات تهیه شده یک برنامه­ ی زمانی تنظیم و فایل تهیه شده را از طریق ایمیل ارسال نمود. هدف این ابزار کاهش زمان صرف شده برای نوشتن شرط­ ها، تنظیم ستون­ های گزارش و در نهایت تهیه فایل خروجی است. می­ توان template گزارش­ ها را یکبار ایجاد و برای همیشه از آن استفاده نمود. همچنین امکان تهیه چندین گزارش مختلف در یک فایل و با یک برنامه زمانی مشخص وجود دارد.

Dashboard Management

داشبوردها به منظور مانیتورکردن وقایع موجود در شبکه در قالب نمودارهای Bar ،Trend ،Pie و یا به صورت لیست مورد استفاده قرار می­ گیرند. یک داشبورد معمولاً از مجموعه ­ای از عناصر گرافیکی تشکیل شده و قادر به پیوستن به منابع متنوع می­ باشد. در واقع اطلاعات را از بانک­های اطلاعاتی موجود (به عنوان مثال Currensic) استخراج کرده و به صورت یکپارچه در یک صفحه نمایش می­ دهد. داشبوردها می­ توانند ابزاری قدرتمند و منحصر به فرد برای نظارت بر عملکرد سازمان در یک نگاه باشند. اطلاعات مربوط به زمان گذشته و حال را گردآوری کرده، امکان پیش بینی آینده را فراهم ساخته و اطلاعات مورد نیاز مدیران را در اختیار آن­ها قرار می ­دهند. از ویژگی­ های دیگر داشبوردها دسترسی به اطلاعات حیاتی شبکه، ساده بودن و درک سریع بصری، برجسته کردن نقاط کلیدی (مانند مینیمم، ماکزیمم، خارج از رنج و بحرانی) و همچنین حذف جزئیات تا حد امکان می­ باشد. در سامانه­ کورلاگ این ابزار به ما کمک می­کند تا با تعریف شرط­ ها و پارامترهای مختلف، داشبوردهایی متناسب با نیاز شبکه ایجاد و مورد استفاده قرار دهیم.

Vulnerability Management

با توجه به اینکه IDS ها معمولاً با درصدی از احتمال، حملات مختلف شبکه را شناسایی می کنند، به منظور اطمینان از اعمال حملات، می توان از اسکنرهای آسیب پذیری نظیر Nessus یا OpenVAS کمک گرفت. این اسکنرها امکان تشخیص آسیب پذیری دیوایس های شبکه را فراهم می کنند. با توجه به اینکه بعضی از آسیب پذیری ها دارای کد CVE بوده و همچنین رخدادهای دریافت شده از IDS نیز در بعضی موارد مربوط به یک CVE خاص می باشد با انطباق CVE های بدست آمده از IDS و اسکنر آسیب پذیری، می توان با دقت بیشتری در مورد حملاتِ هکرها نتیجه گیری نمود. بدین منظور در سامانه کورلاگ ماژولی تحت عنوان Vulnerability Management در نظر گرفته شده. با استفاده از این ماژول امکان تنظیم یک برنامه زمانی در سمت اسکنر آسیب پذیری به منظور اسکن دیوایس های شبکه و همچنین دریافت نتایج اسکن دیوایس ها فراهم است.

Action Center

ماژول Action Center در سامانه Corelog وظیفه ارسال اعلان­ ها، پیام­ ها و یا حتی اجرای دستوراتی را دارد که در ماژول­ های Policy Management و Incident Management ­برای آن­ها شرایطی را تعیین نموده ­اید. به عنوان مثال اگر پالیسی نوشته شده باشد که هروقت شخصی یک فلش مموری را متصل کرد اطلاع داده شود، درAction Center مشخص می ­شود که اولاً این اعلان­ ها به چه صورت باید ارسال شود (ایمیل، پیامک و یا  اجرای Command) و یا این پیام­ ها باید دارای چه فرمتی باشند، دوماً این پیام­ ها باید به دست چه اشخاص و یا گروهی برسد.

Credential Management

برای تعریف sensor های Pull based نیاز به ایجاد یک Credential می باشد. برای این منظور در سامانه کورلاگ از ماژول Credential استفاده می نماییم.

Knowledge DB

در سامانه کورلاگ ماژولی وجود دارد به عنوان Knowledge DB که تمامی آداپترها سامانه در اینجا قابل مشاهده بوده و همچنین Event Type های این آداپتر ها نیز قابل رویت میباشند.

بیشترین استفاده ای که از این ماژول میشود عبارت است از:

  • اضافه نمودن آداپترهای جدید
  • آپدیت کردن آداپترهای موجود
  • چک کردن Event Type های مربوط به هر Adapter

رابط راهبری کامند لاین CLI

برای ورود به سامانه  CoreLog دو روش وجود دارد روش اول User Guide است که محیط گرافیکی سامانه را در  اختیار مدیر سامانه قرار می دهد و روش دوم CLI است که برای کارهای سیستمی و یا عیب یابی استفاده می شود محیط CLI  امکاناتی در اختیار مدیر سامانه قرار میدهد که در محیط گرافیکی قابل انجام نمی باشد . موارد و امکانات آن  رادر ادامه توضیح خواهیم داد.

درخواست مشاوره رایگان

تیم فروش و کارشناسان فنی بهین راهکار در اسرع وقت با شما تماس خواهند گرفت

در مسیر امنیت، هر قدم کنار شما هستیم

درخواست دمو

تیم فروش و کارشناسان فنی بهین راهکار در اسرع وقت با شما تماس خواهند گرفت تا دموی شخصی‌سازی‌شده مطابق نیازهای سازمان شما را ارائه دهند.

در مسیر امنیت، هر قدم کنار شما هستیم