NetIQ Sentinel Käyttötapausnäkökulma

Pekka Lindqvist

pekka.lindqvistI@netiq.com

2 © 2014 NetIQ Corporation. All rights reserved.

Sisältö

• Johdanto

• Käyttötapauksia‒ Lokienhallinan käyttötapauksia

‒ SIEM-käyttötapauksia

• Yhteenveto

3 © 2014 NetIQ Corporation. All rights reserved.

Miksi lokitieto haltuun?

• Vaatimukset edellyttävät‒ Laki, asetukset

‒ Muut yleiset määräykset

‒ Omat vaatimukset

• Tarve ymmärtää mitä ympärstössä tapahtuu‒ Tietojen suojaus

‒ Havaita mahdollinen luvaton toiminta ja reagoida siihen

• Tehokkuus‒ Lokitiedot paremmin käytettäväksi, esim. auditoinnissa

‒ Tietoteknisten resurssien tehokkaampi käyttö

• Liiketoiminnan jatkuvuus

4 © 2014 NetIQ Corporation. All rights reserved.

Tietoturvan hallinnan tarpeet

• Organisaatioiden tietoturvan vaatimukset ja lähtötasot vaihtelevat

• Organisaatiot tarvitsevat tietoturvan hallintaratkaisun, joka mahdolistaa vaiheittaisen etenemisen

‒ Lokien hallinta on helppo ottaa käyttöön ja tarjoaa nopeita hyötyjä

‒ Sitä voi laajentaa järjestelmien, sovellusten ja ihmisten, tosiaikaiseen seurantaan.

‒ Uusien tiedonlähteiden lisäämisen on oltava joustavaa

‒ Identiteettiin perustuva käyttäjän toimenpiteiden seuranta

Lokienhallinnan käyttötapauksia

6 © 2014 NetIQ Corporation. All rights reserved.

Lokienhallinnan tavoitteita

• Keskitetty lokivarasto‒ Lokieitetoja yhdessä paikassa hyödynnettävissä

‒ IT-resurssien tehokas hyödyntäminen

• Yhtenäiset lokipolitiikat‒ Kuinka tietoja säilytetään

‒ Kuka saa tarkastella lokitietoja

• Lokien tietoturva‒ Pääsyn kontrollointi lokietietoon

‒ Lokien käsittelyn jäljitettävyys

7 © 2014 NetIQ Corporation. All rights reserved.

Keskitetty lokivarastoTiedon keräys

• Lokilähteiden hallinta yhdessä paikassa

8 © 2014 NetIQ Corporation. All rights reserved.

Keskitetty lokivarastoTiedon normalisointi

• Samat tiedot eri tapahtumissa

9 © 2014 NetIQ Corporation. All rights reserved.

Keskitetty lokivarastoTiedon tallennus

• Kokonaiskuva lokien levytilan käytöstä

• Ennustettavuus tulevasta tarpeesta

10 © 2014 NetIQ Corporation. All rights reserved.

Keskitetty lokivarastoTietojen poistosykli

• Ei turhaa tiedon säilytystä

11 © 2014 NetIQ Corporation. All rights reserved.

Keskitetty lokivarastoPääsy tietoihin

• Yksityiskohtaiset kontrollit tietojen käytölle

12 © 2014 NetIQ Corporation. All rights reserved.

Lokitiedon hyödyntäminenTietojen haku

• Vapaa tekstihaku

13 © 2014 NetIQ Corporation. All rights reserved.

Lokitiedon hyödyntäminenTietojen haku

• Haku kenttien avulla

14 © 2014 NetIQ Corporation. All rights reserved.

Lokitiedon hyödyntäminenTietojen haku

• Haun täsmennys

15 © 2014 NetIQ Corporation. All rights reserved.

Lokitiedon hyödyntäminenTietojen haku

• Hakujen yhdistäminen

16 © 2014 NetIQ Corporation. All rights reserved.

Lokitiedon hyödyntäminenRaportointi

• Auditointiin valmistautuminen

17 © 2014 NetIQ Corporation. All rights reserved.

Lokitiedon hyödyntäminenRaportointi

• Identiteetinhallinnan tueksi

18 © 2014 NetIQ Corporation. All rights reserved.

Lokitiedon hyödyntäminenRaportointi

• Johdon tueksi

19 © 2014 NetIQ Corporation. All rights reserved.

Lokitiedon hyödyntäminenRaportointi

• Vahvojen tunnusten hallintaan

20 © 2014 NetIQ Corporation. All rights reserved.

Lokitiedon hyödyntäminenRaportointi

• Statistiikkaa

21 © 2014 NetIQ Corporation. All rights reserved.

Lokitiedon hyödyntäminenHajautettu tallennus ja käsittely

Endpoints Network Servers

Suomi

Endpoints Network Servers Endpoints Network ServersEndpoints Network Servers

DedikoituympärsitöVenäjällä

Jaettu palvelin

Korrelaatio-palvelin

Ruotsi Saksa Suomi

• Keskitetty / hajautettu toteutus, tagien hyödyntäminen

Lokienhallinta ja SIEM käyttötapauksia

24 © 2014 NetIQ Corporation. All rights reserved.

Lokitiedon hyödyntäminenTiedon rikastus

• Tiedon rikastus muista lähteistä

25 © 2014 NetIQ Corporation. All rights reserved.

Lokitiedon hyödyntäminenTapahtumiin reagointi

• Tiedon välitys eteenpäin

26 © 2014 NetIQ Corporation. All rights reserved.

Lokitiedon hyödyntäminenTapahtumien visualisointi

• Tietoturvan valvonta, nopea tilannekatsaus

SIEM käyttötapauksia

29 © 2014 NetIQ Corporation. All rights reserved.

Lokietietojen jalostusKorrelaatio

• Tiedossa olevien uhkien ennakointi

30 © 2014 NetIQ Corporation. All rights reserved.

Lokietietojen jalostusKorrelaatio

31 © 2014 NetIQ Corporation. All rights reserved.

Lokietietojen jalostusPoikkeamat

• Kriittisten tapahtuminen poikkeamiin reagointi

© 2015 NetIQ Corporation and its affiliates. All Rights Reserved.32

Lokietietojen jalostusHälytykset

• Yleiskuva

© 2015 NetIQ Corporation and its affiliates. All Rights Reserved.33

Lokietietojen jalostusHälytys - yksityiskohdat

• Tapahtuman analysointi

34 © 2014 NetIQ Corporation. All rights reserved.

Lokietietojen jalostusMahdollisuuksia näkymiksi

Yhteenveto

36 © 2014 NetIQ Corporation. All rights reserved.

Yhteenveto

• Lokien hallinnasta voi saavuttaa monelaisia hyötyjä

• Hyötyjä voi saada nopeasti ja kehittämällä ratkaisua niitä voidaan lisätä

37 © 2014 NetIQ Corporation. All rights reserved.

Yhteenveto

Toimeenpane pääsyn hallinta

Monitoroi toimintaa

Hallitseoikeuksia

+1 713.548.1700 (Worldwide)888.323.6768 (Toll-free)info@netiq.comNetIQ.com

Worldwide Headquarters1233 West Loop South Suite 810 Houston, TX 77027 USA

http://community.netiq.com

41 © 2014 NetIQ Corporation. All rights reserved.

This document could include technical inaccuracies or typographical errors. Changes are periodically made to the information herein. These changes may be incorporated in new editions of this document. NetIQ Corporation may make improvements in or changes to the software described in this document at any time.

Copyright © 2014 NetIQ Corporation. All rights reserved.

ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, the cube logo design, Directory and Resource Administrator, Directory Security Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, the NetIQ logo, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server Consolidator, VigilEnt, and Vivinet are trademarks or registered trademarks of NetIQ Corporation or its subsidiaries in the United States.