Cél
A hálózati eszközök működésének központi monitorozása, üzemeltetési és információvédelmi szempontok alapján.
Üzleti igény/eredmény: a heterogén hardver és szoftver elemekből álló struktúrált hálózat egyes elemeinek logjait, illetve ezen elemek felügyeletére bevezetett megoldások adatait összegyűjtésével egy központi monitorozó rendszer kialakítása. Egy felületen megjeleníthetők a különböző területek elemzett adatai, az adatok összekapcsolásával, korrelációs elemzésével új, eddig rejtett összefüggéseket lehet felderíteni. Továbbfejlesztési lehetőségként integrálhatók és elemezhetők a határvédelmi és végpontvédelmi megoldások adatai is.
Megoldás
A megvalósításának első lépéseként a tűzfalakról (pl. CISCO) származó logok gyűjthetők össze. Az előzetes elemzések és előfeldolgozások alapján meghatározhatók azok az állományok (adatok, információk), amelyek szükségesek a cél eléréséhez. Az elemző felület és a szabványos szabálygyűjtemény (pl. CISCO-PIX&ASA) felhasználásával olyan rendellenességek mutathatók ki, amelyek relevánsak lehetnek mind üzemeltetési, mind információbiztonsági szempontból. Néhány példa a felfedezhető eseményekre:
- Támadás - DNS Request for All Records: alapvetően egy információs üzenet, azonban adott esetben jelenthet felderítési kísérletet is, ezért meg kell vizsgálni az üzenetben található távoli IP címet, hogy megbízható kategóriába tartozik-e.
- Támadás – Fragmented ICMP Traffic: Ennek jelzésnek az indikálása a „Large ICMP Echo Request Denial of Service” sérülékenység lehetséges kihasználását jelzi.
- Lehetséges támadás - Deny protocol reverse path check: Valaki megpróbál spoof-olni egy IP címet egy bejövő kapcsolaton. Ez lehet egy támadás része, amely a tűzfal ellen irányul.
A talált eseményekre riasztási szabályokat lehet beállítani, amelyek az események előfordulásakor e-mail riasztást küldenek az illetékeseknek. Ezen események előfordulásáról statisztikákat, kimutatásokat, jelentéseket készíthetünk. Részleteket feltárni (lefúrni) képes grafikonok teszik lehetővé, hogy a könnyen áttekinthető aggregált adatokból el tudjunk jutni a részeletes, nyers log adatokig, így nyomon tudjuk követni, hogy pontosan mi okozta a rendellenességet.
A további hálózati elemek és határvédelmi megoldások logjainak bekötésével lehetőség nyílik a teljes hálózati struktúra komplex monitorozása. Az SLA grafikonos megjelenítés biztosítja, hogy a különböző területek üzembiztonsági és információbiztonsági állapota egyszerűen követhető és kézben tartható legyen.