QRadarŞubat 2015

DEĞ

ERİN

İZİ K

ORU

R ı S

AVES

YO

UR

VALU

E

PLATİN BİLİŞİM SIEMQRadar Avantajları

QRadar

GartnerMQ > SIEM “Raporunda Son Üç Yıldır Sürekli Yükselmektedir.”

L oglar Hızlı Büyür:

oglar çok hızlı büyüyebilen bir yapıdadır. Hergün yeni uygulamalar ile logu yıllarca saklanması gereken cihazlar BT yapılarına girmektedir. Qradar kolaylıkla genişler. Platin Qradar Appliance’ları 24, 40 ve 100 TB olarak sunulmaktadır. Kullanılmayan disk alanı tampon olarak kullanılabilir. Bu da log kaybı imkanını hemen hemen

sıfıra indirebilir. Rakiplerimizde sınırlı disk imkanı vardır. Yeni bir log toplama ünitesi hem pahalı hem de mevcut yapıya eklenmesi problemli olabilecektir.

Varsayımlara Güvenmeyin: Sistemler 1/10 hatta 1/20 sıkıştırma yaptığını broşürlerinde iddia eder.Bu varsayımlar sisteminize uymazsa; kapasite sorunu çıkarsa sorumlusu kim olacaktır? Qradar planlamalarında, sıkıştırma özelliği olmasına rağmen; hep sıkıştırılmamış veri üzerinden planlamayapılmaktadır. Kötü sürprizlere yer yoktur.

GB/ Day Sınırlamanız Olmasın: Qradar’da diske yazma lisansı yoktur. Çünkü disk kaynakları rakipleri gibi sınırlı değildir. Özgürce yazın, sınırlara sıkışmayın.

Logları Filtrelemeyin, Korole Edin: Eski teknolojiler saklayamadığı için filtreleme benzeri çözümlerönermektedir ve logları azaltmaya çalışmaktadırlar. Qradar’da da benzer fonksiyonlar vardır; ancak benzer bir logun kaç deaf olduğu değil, “öncesinde ne olduğu” gibi kritik bir bilgi kaçırılabilir.

QRADAR AVANTAJLARI

Sınırsız Büyüyebilme: Qradar, kendi geliştirdiği Ariel veritabanı teknolojisi ile ölçeklenebilir ve sürekli genişletilebilir bir veri saklama altyapısı sunar. Veriler 100 TB adreslenebilir yapılarda saklanır. İhtiyaç oldukça yeni “node”lar ilave edilerek bu yapı hemen hemen sınırsız büyütülebilir. Eğer isteniyorsa,bu saklama alanını rakipleri gibi bir bölümü sıkıştırılmış olarak kullanarak yaklaşık 160 TB veriyi adresleyebilir. Bu teknoloji ile uygun maliyetli sistemler üzerinde çok hızlı arama ve korelasyon olanakları sağlar. Böylelikle, ölçeklenebilir bir sınırsız büyüyebilme olanağı tanınmış olmaktadır.

4 Kutu Yerine Tek Kutu: Sıkıştırılmamış veri üzerindeki işlemler (arama vs) daha hızlı olacağından bu yapı avantaj sağlamaktadır. Diğer bir avantaj da başka firmaların sıkıştırarak dahi 3-4 kutu ile ancak sağlayabileceği yapının tek bir kutu ile sağlanmasıdır. Özellikle High Availability /Cluster ve Disaster Recovery uygulamalarında az sayıda büyük kutular çok daha büyük avantajlar sağlamaktadır.

Düşük Donanım Maliyetleri: Qradar 4 TB NL SAS disklerden oluşan veri depolama altyapıları önermektedir. Bazı rakiplerinin depolama ihtiyaçları daha pahalı disklerdir. Bu da toplam sahip olma maliyetinde Qradar’ın avantajlı konuma gelmesini sağlamaktadır ve düşük bir donanım maliyeti oluşur.

Diske Yazma Lisansı Sınırsız: Qradar diske ne kadar yazdığınızla ilgilenmez. Çünkü disk alanında sıkıntısı yoktur. Büyük log üreten özel uygulamalar açısından bu büyük bir avantaj sağlamaktadır.

Arama Hızını Artırmak Çok Kolay ve Ucuz: Sadece düşük maliyetli Data Node’lar alın/ artırın; “Hadoop” benzeri düşük maliyetli, dilediğiniz kadar hızlı bir arama sisteminiz olsun. Rakiplerin log toplama ürünlerini artırmak hem çok pahalı olacak hem de Qradar kadar ölçeklenemeyecektir.

Değerinizi Korur I Saves Your Value

Değerinizi Korur I Saves Your Value

Korelasyon Sistemlerinde Neden EPS Sınırı Olsun?: Qradar benzersiz “Distrubuted” mimarisi ile korelasyon ve log toplama işlerini paralel olarak genişleyen dağıtık bir yapıda yapmaktadır.

“Yüzbinlerce EPS” hızında korelasyon Qradar ile rahatlıkla yapılabilir. Bazı rakiplerimiz “Korelasyon Engine” fonksiyonunu kullanan tek kutu ile korelasyonu historik data üzerinden yapmaya çalışmaktadır.Bu yapının en zayıf noktası, tek kutunun en fazla 7,500 EPS veya 12,500 EPS’e destek verebilmesidir. Daha büyük sistemler için birbirinden ayrık, “ayrı dünyalarda çalışan” korelasyonlar uygulanabilir. Busistemler birbirini tanımaz ve birbirlerinin loglarını aynı korelasyonda kullanamazlar.

q

Kolay Kullanım: Qradar, korelasyon yapabilmeyi ve sonuçlarını görmenizi son kullanıcıya indiren bir sistemdir. Korelasyo yapmak için hazır cümleleri seçmeniz ve sihirbazda testlerinizi seçmeniz birkaç tık ile sağlanır. Tüm uyarlamalarınız ve korelasyonlarınız için uzmanlaştırma gereksinimi son derece azdır. Rakiplerimizde kullanım çok kolay değildir. Genişleme maliyetleri çok yüksek olabilmektedir.

Korelasyon Sadece Event ile mi Olmalı? Flow?: Qradar ile şirketinize sunduğumuz çözümde kullandığımız Flow ve QFlow teknolojisi ile SIEM çözümlerini bir adım öteye taşımakta ve bir takım davranışsal analizleri ve taramaları da korelasyonunuza kazandırmaktayız. Hem trafi k hem de paket analizi ile diğer rakip çözümlerde, elde etmenizin mümkün olmadığı belirli birgörünürlük sağlarsınız.

Neden Yeni Nesil SIEM ler Tercih Edilmeye Başlandı?: Qradar yeni nesil bir SIEM çözümüdür. Başarısının arkasında QFlow/Flow ile davranışsal network verisinin ve normal log verisinin sentezlenmesi,kullanıcı dostu bir sistem olması yatmaktadır. Dünyanın en büyük uyarlamalarında yüksek performanslı bir SIEM - Korelasyon motoru olarak kullanılması, davranışsal analizlerdeki başarısı nedeniyle tercih edilmektedir. Yapısında bulunan “anomally detection” , “behavioral analysis” yetenekleri, Reference Set, Reference Map, MapofSets, MapofMaps, ReferenceTable gibi kullanıma hazır nesneler ile istediğiniz korelasyonlar rahatlıkla yapılabilir. Birçok ön tanımlı nesne de hazır use-caseleri ile beraber sistemin kurulumunda hazır olarak gelir.

Flow Kullanabilen Bazı Korelasyon Örnekleri: Kullanıcıların login oldukları sistemler, bulundukları fi ziksel lokasyon içerideki bir sistemde ürettikleri trafi k miktarı ve yönü gözlemlenebilir. Bu miktar geçen ayın trend verisi ile %40 lık bir sapma gösteriyor ise uyarı üretebilir.Kullanıcı içerideki bir sistemden dışarıya, standart bir port üzerinden şifreli veya beklenen tiptekiler dışında bir trafi k yapıyor ise bu da tespit edilip; uyarı üretilebilir. Belirli protokollerde veya miktarlarda,belirli IP lerden veri transfer edilirse; bu gibi konular Qradar’a özgür QFlow yeteneği ile korole edilebilir.

Online Korelasyon mu Offl ine Korelasyon Mu?: Qradar mimarisi gereği gelen datayı anında korele eder ve saklar. Log saklama ve korelasyon operasyonu aynı kutuda olduğu için bunu yapabilir. Tekrar okuma ve korele etmek için rakipleri gibi ikinci bir işlem yapmadığından; çok hızlıdır. Rakipleri genelde“bir yapıda logları sakla” , “saklanan logları okuyarak korele et” mantığı ile dizayn edildikleri için sistemde bir gecikme-yavaşlık dizayn nedeniyle mevcuttur.

q

Değerinizi Korur I Saves Your Value

Değerinizi Korur I Saves Your Value

Ajanlı ve Ajansız Çalışabilme: Qradar tarafından ajanlı ve ajansız olarak birçok log toplama ve işleme tekno-lojisi desteklenmektedir. Birçok ürün ve teknoloji için birden fazla çözüm sunulur ve odak noktası “En Verimli Olanın Tercih Edilmesi” dir. Network topolojiniz ve güvenlik isteklerinize göre en uygun çözüm tercih edilir ve kullanılır. İş-kritik sistemlerinde genelde, RAM/ CPU gibi sınırlı kaynakların az kullanılması için “ajansız” çözüm tercih edilmektedir. Qradar kendi ajanları olduğu gibi Windows ve diğer third parti ajanlarla da uyumlu çalışabilmekte ve kendi konsolundan bunları yönetebilmektedir.

Ajan kullanımının mümkün olmadığı “fi rewall” ve “switch” ya da “router” ; iş-kritik öneme sahip “özel uygulama” sistemleri için uygun remote protokoller olan Syslog/JDBC/snmp/logfi le/TLSSyslog vb. tercihedilebilir. Riski minimize eden, log kaynağı sisteme en uygun, desteklediği teknolojilere ve şifreleme ihtiyaçlarına göre olan teknik uygulanır.

Uzak Lokasyonlar İçin Alternatif Çözüm: Uzak lokasyonlar için ajanlı bir yapı tercih edilirse; Wincollect , ALE ve uyumlu ajanlar ile log toplama yapısı kullanılabilir. Loglar uzaktan toplanabilir. Ancak

bölgesel olarak riskli networklerin olması durumunda, “Qradar Event Collector” ile ilave fonksiyonlar sağlanabilir.

Veriye Kolay Ulaşım ve Arama Yapabilme: Qradar’ın kullanıcı dostu arama ekranları ve hızlı search oluşturma yapısı ile ürünün kolay kullanımı ve veriye hızlı erişimi sağlanır. “Quick Mode” kullanım ile veriye rahatlıkla ulaşmanızı sağlayan “Google Like Search” ve serbest ifadeler desteklenir. “Advanced Mode” ile birçok operatör kullanımı ve / veya istenirse SQL yazımı desteklenir. İsterseniz normalize log üzerinde isterseniz ham log verisi üzerinde; SQL Like Support, Mathematical and String Operations, Complex or/and/not conditions, having and group by support, full text search support like Google, time and date formatting gibi teknolojiler ile arama yapabilirsiniz.

Değerinizi Korur I Saves Your Value

GARTNER RAPORLARI

QRADAR GARTNER MQ > SIEM RAPORUNDA SON ÜÇ YILDIR DEVAMLI YÜKSELMEKTEDIR. ŞU ANDA “LEADERS” QUADRANTINDA “ABILITY TO EXECUTE” VE “COMPLETENESS OF VISION” ALANINDA RAKIPLERINDEN ONDE 1. SIRADADIR.

GARTNER QUOTES: (Birebir Alınmıştır)

“Qradar is for good fi t for mid -size and large enterprises that need general SIEM capabilities and also for use cases that require behaviour analysis and Netfl ow and Full Packet Capture. Behavioral analysis is recognised by Gartner as essential in the detection of advanced threats. “

“Customer feedback indicates that;

used technology is relatively straightforward to deploy and maintain across a wide range of deployment sizes.”

Rakipler: Rakip ürünlerde korelasyon eksikliği ve zorluklarına, en güncel Gartner SIEM MQ’da şu maddeler ile değinilmiştir: “ .........provides real -time statistical correlation but profiling and anomally detection operate against historical data only.” “ While the CORR-Engine has eliminated a major source of deployment and support complexity , customers will still find ESM to be more complex than other leading solutions.”

Değerinizi Korur I Saves Your Value

Loglar Önemli Mi, O Zaman HA: Logların çok önemli olduğu, asla kaybedilmemesi gerektiği hep söylenmektedir. QRadar, HA-High Availabilty ve Cluster mimarisinde çalışmak üzere tasarlanmıştır. Tüm kritikkomponentlerin HA Modülleri bulunmaktadır. Gerektiğinde sadece “Node” gerektiğinde hem “data” hem de “node” HA yapısında sunulabilir. Bu sayede, sistemde veya diskte herhangi bir arıza olması durumunda, bir logkaybı yaşanmaz. Bu sistemler istenilen her uygun donanım veri deoplama sistemi ile çalışabilir. Qradar rakiplerigenelde, HA mimarisi düşünülerek dizayn edilmemiştir.

Çözümünüz Disaster’a Ne Kadar Hazır?: Qradar HA gibi “Disaster Recovery” (DR) sistemlerine de hazırdır.Toplanan loglar (event veya fl ow) DR lokasyonundaki sistemlere transfer edilebilir. Bir felaket durumunda; DR sistemleri çalışabilir, eski loglar üzerinden arama yapabilir veya log toplanmasına devam edebilir. Bu konuda istenen tüm mimariler desteklenir. Qradar’ın rakipleri genellikle daha kısıtlı çözümler sunmaktadırlar. Bunun mimari eksiklik veya lisanslama maliyetlerini düşürmek amaçlı olduğu düşünülmektedir.

Risklerinizi Yönetiyor Musunuz? Zaafi yetlerinizi Biliyor Musunuz?: Risk manager ile network üzerinderiskleri diagram şeklinde görebilmeniz mümkündür. Zaafi yet analizi modülü ile tüm varlıkların zaafi yetleri tespit edilmektedir. Özellikle; daha zayıf durumdaki BT varlıklarına bir saldırı düzenlendiğinde; önceliği daha üst seviyeye çıkarılmaktadır. Qradar’ın rakipleri genelde kendilerini bir log yönetimi ve korelasyon ürünü olarak tanımlamaktadırlar.

Incident Forensic İle Gerçekte Ne Olduğunu Bilmek İster Misiniz?: Qradar, “Incident Forensic” modülüile network üzerinden pektleri toplayarak bir olay olduğunda gerçekten ne olduğunun resmini sunabilmektedir.Ana rakiplerinde bu şekilde bir özellik bulunmamaktadır.

Flow, QFlow, WFlow: Qradar network konusunda uzmanlaşmış ve kendini çok farklılaştırmıştır. Normal loglar dışında networkten veri toplayarak; bunları loglarla beraber korele edebilmektedir. Bu sayede, rakiplerimizin,ulaşamadığı sonuçlara rahatlıkla ulaşabilmektedir. QFlow ile Application layer 7 sayesinde veri toplanabilir.VFlow, Vmware fl ow verisini toplan özel modüldür. Qradar’ın ana rakiplerinde bu şekilde bir özellik mevcut değildir.

Değerinizi Korur I Saves Your Value

Compliance Raporları: Qradar ile beraber onlarca hazır rapor template olarak gelir. Bu raporların örneğin; PCI x maddesi için” gibi açıklamalarla ve bu maddenin detayları ile beraber geldiği için son derece yararlıdır. Bu modüller ürün ile beraber ücretsizdir. Bazı rakiplerimizde bu ürünler, ayrı modüller olarak sunulmaktadır.

Zaman Damgası Uygulaması: 5651 yasası gereğince; “ilgili otoritelerden internet üzerinden temin edilecek” bir “Zaman Damgası” kullanılması gerekmektedir. Platin Bilişim SIEM çözümü zaman damgası fonksiyonunu sunabilmektedir. Müşterimizin bu modül ile beraber sadece ilgili otoritelerden gereken miktarda “güvenlik sertifikası” alması gerekli olacaktır.

Qradar İle Olay Yeri İnceleme: Qradar Incident Forensic modülü ile networkünüzde oluşan tüm “incident”lar için gerçek veriyi görüp inceleyebilirsiniz. Tespit edilen olay ve riskler ile ilişkili tüm network paketlerinin “Capture” edilmesi ile, bu olaylara konu olan e-mail, word, excel, pdf, gibi dökümanları hatta IP tabanlı sesli görüşme kayıtlarını görme/ dinleme ve inceleme olanağına erişirsiniz. PCAP (Packet Capture) teknolojisi ve Qra-dar SIEM in korelasyon gücü ile tespit edilen bir olaydan etkilenen veri ve varlıkları bulabilir aynı zamanda olayın sorumlularını ve ilgili delilleri elde edebilir; dolayısıyla bu olaydan doğabilecek gerçek riskleri öngörebilirsiniz.

QRadar Enterprise, Güvenli, Yüksek Performanslı, Sınırsız,

Yeni Nesil Güvenlik Zekası Çözümüdür!

Değerinizi Korur I Saves Your Value

Değerinizi Korur I Saves Your Value

Platin Bilişim Teknolojileri, iş ortakları ve pay-daşları ile IBM Qradar ürününe ilişkin çözüm-lerini konuşmak için, 19 Kasım Çarşamba günü oldukça verimli bir etkinlik gerçekleştir-di. Özellikle toplu alanlarda internet kullanımı bakımından düzenlemeler getiren 5651 yasa-sı tartışıldı. Platin Bilişim Teknolojileri’nin ge-leceğe yönelik Qradar çözümleri sunumlar, soru ve cevaplar eşliğinde masaya yatırıldı.

Platin Bilişim Teknolojileri “IBM Secutity Future Excellence Day” Etkinliği’ne Yoğun İlgi

19 Kasım Çarşamba Günü, Sait Halim Paşa Yalısı’nda gerçekleşen Platin IBM Future Excellence Day et-kinliğinde, Platin Bilişim Teknolojileri IBM Qra-dar ürününe dair farklı çözümlerini dile getirdi.

Serdar Kuzuloğlu tarafından moderatörlüğü gerçekleştir-ilen etkinliğin ana teması toplu alanlarda internet kul-lanımı konusunu düzenleyen 5651 yasası çerçevesinde Platin Bilişim Teknolojileri’nin ne gibi çözümler sun-duğu ve Qradar ürününe dair gelecek vizyonu idi.

Değerinizi Korur I Saves Your Value

Platin Bilişim Teknolojileri, Teknoloji direktörü Can Topay Platin Qradar BT Güven-lik Olayları adlı sunumunun ardından; soru ve cevaplar ile akıllara takılan soruları yanıt-ladı. Ardından IBM Güvenlik Yazılımları Satış Yöneticisi Pelin Konakçı, IBM Güven-lik Zekası Çözümleri adlı sunumu ile IBM in farklı güvenlik yazılımlarını tanıttı.

Serdar Kuzuloğlu’nun moderatörlüğünde soru cevaplar içeren bir sohbet şeklinde Platin-Hep-siBurada.com başarı hikayesi dinleyici ve konuklara aktarıldı. Bu sohbet ardından akıllara takılan bölümler için soru cevap bölümü ile konu derinlemesine aydınlatılmaya çalışıldı. Ar-dından sahneye TÜBİTAK BİLGEM Kamu SM, Uygulama Destek Uzmanı Şenol Şenyurt çı-karak sunumu ile 5651 yasası kapsamında bilgi güvenliği konusunda katılımcıları bil-gilendirdi. Yine soru cevaplar ile programın bilgilendirici bölümü tamamlanmış oldu.

Ardından Platin Bilişim Genel Müdürü Ayhan Bamyacı tüm katılımcıları öğle ye-meğine davet etti. Öğle yemeği esnasında birbirleriyle görüşüp kaynaşma ola-nağı yakalayan iş ortakları açısından öğle yemeği de oldukça keyifli ve verimli geçti.

PLATİN BİLİŞİM LTD.ŞTİ.Bayar Caddesi Gülbahar Sokak Ege Yıldız SitesiB Blok NO:15 Kat:2 Daire:1 34742Kozyatağı KADIKÖY İSTANBUL Tel: +90 216 416 3096Fax: +90 216 416 3046pazarlama@platinbilisim.com.trhttp://www.youtube.com/user/PlatinBilisimhttps://www.facebook.com/platinbilisimtrhttps://twitter.com/Platin_Bilisimhttps://tr.pinterest.com/platinbilisimhttps://www.linkedin.com/company/platin-bilisim