SPLUNK FOR SECURITY
Transkrypt
SPLUNK FOR SECURITY
SPLUNK FOR SECURITY Splunk jest systemem, który rejestruje i upraszcza zarz¹dzanie logami i aktywnoœciami generowanymi przez systemy zabezpieczeñ, systemy operacyjne, aplikacje biznesowe, urz¹dzenia sieciowe oraz bazy danych. Koreluje dane pochodz¹ce z ró¿nych elementów infrastruktury IT. Analizuje wzorce zachowañ umo¿liwiaj¹c ocenê ich wp³ywu na ci¹g³oœæ dzia³ania organizacji. Wydajna i skalowalna baza danych o p³askiej strukturze przechowuje dane historyczne w niezmienionej formie. System umo¿liwia odtworzenie œcie¿ki ataku, identyfikacjê rzeczywistej daty jego rozpoczêcia oraz zaatakowanych aplikacji lub urz¹dzeñ. Zaawansowane narzêdzia do analizy ryzyka pozwalaj¹ nadaæ odpowiednie priorytety poszczególnym zdarzeniom. Wbudowane narzêdzia powiadamiania i uwierzytelniania upraszczaj¹ zarz¹dzanie incydentami. Przyk³ady zastosowañ Splunk for Security: rozwi¹zania SIEM – Security Information and Event Management. Forensic – analiza danych dowodowych, prowadzenie œledztw informatycznych. Compliance – wykrywanie i raportowanie przypadków naruszenia polityki bezpieczeñstwa. Wykrywanie znanych i nieznanych ataków APT. Ograniczenie alertów false-positive, dziêki korelacji zdarzeñ z ró¿nych elementów infrastruktury IT. Identyfikacja anomalii i nieznanych zagro¿eñ dziêki przechwytywaniu i wykorzystaniu danych „nonsecurity”. Passus sp. z o.o. | ul. Wiktorska 63, 02-587 Warszawa | tel./faks: (+48 22) 540 18 00 | e-mail: [email protected] | www.passus.pl SPLUNK - analiza i korelacja danych ze wszystkich Ÿróde³ Tradycyjne systemy SIEM Indeksacja logów ze wszystkich wa¿nych Ÿróde³ Wyszukiwanie, analizowanie wizualizacja zdarzeñ Jedna zintegrowana aplikacja do indeksacji dowolnych typów danych, wyposa¿ona w wydajn¹ i skalowaln¹ bazê. Splunk pozwala wyszukiwaæ oraz analizowaæ logi zarówno w czasie rzeczywistym, jak i z wykorzystaniem zgromadzonych danych historycznych. System umo¿liwia rejestrowanie danych pochodz¹cych zarówno z systemów zabezpieczeñ (firewall, IDS, antywirusy) jak i z urz¹dzeñ sieciowych, baz danych, systemów operacyjnych w jednym miejscu i ich analizê za pomoc¹ jednego UI. Technologia Google MapReduce pozwala przeszukiwaæ dane w oparciu o dowolne terminy i wyra¿enia. P³aska struktura bazy danych umo¿liwia przechowywanie zarejestrowanych logów i zdarzeñ w niezmienionej formie i ich wykorzystanie m.in. na potrzeby informatyki œledczej. Wydajny silnik bazodanowy jest dostosowany do zbiorów big-data i indeksuje do 100 TB danych w ci¹gu doby. Rejestracja zdarzenia odbywa siê za pomoc¹ bezinwazyjnych forwarderów, bez koniecznoœci instalacji sond lub ingerencji w istniej¹ce systemy informatyczne organizacji. oraz Intuicyjny jêzyk SPL™ (Search Processing Language) pozwala przygotowaæ i zapisaæ dowolne zapytania w zbiorach BigData, zasilanych przez infrastrukturê IT. Funkcja Search Assistant (Asystent Wyszukiwania) upraszcza tworzenie zapytañ oferuj¹c autouzupe³nianie i pomoc kontekstow¹. Podejœcie „drill down” zapewnia ³atwy dostêp do szczegó³owych informacji o zdarzeniu bezpoœrednio z poziomu wykresu lub tabeli. Dodatkowy kontekst dla ka¿dego zdarzenia u³atwia interpretacjê wyników odpowiedzi na zapytania oraz analizê zachodz¹cych wspó³zale¿noœci. Passus sp. z o.o. | ul. Wiktorska 63, 02-587 Warszawa | tel./faks: (+48 22) 540 18 00 | e-mail: [email protected] | www.passus.pl Czytelny dostêp do danych generowanych przez tradycyjne systemy zabezpieczeñ Ró¿ne formy wizualizacji danych pozwalaj¹ przedstawiæ kluczowe informacje za poœrednictwem indywidualizowanych dashboardów. Ponad 160 predefiniowanych raportów, 40 dashboardów oraz 50 wyszukiwañ korelacyjnych umo¿liwia szybkie rozpoczêcie pracy. Zarz¹dzanie zdarzeniami i incydentami Splunk upraszcza proces zarz¹dzania incydentami dziêki wbudowanym narzêdziom powiadamiania, uwierzytelniania i automatyzacji procesów. System mo¿e informowaæ u¿ytkowników o wyst¹pieniu zdarzeñ niepo¿¹danych, jak i w formie prealertów o prawdopodobieñstwie ich wyst¹pienia. Korelacja informacji z systemów bezpieczeñstwa z danymi „nonsecurity” pozwala ograniczyæ liczbê alarmów false-positive. Mo¿liwoœæ implementacji prostych procesów (workflow) umo¿liwia automatyzacjê zadañ zwi¹zanych z obs³ug¹ zdarzeñ (np. automatyczne uruchomienie skryptów naprawczych i/lub zleceñ serwisowych). Granularny system uprawnieñ oparty o model kontroli RBAC (Role Based Access Control), zapewnia kontrolê dostêpu do danych zarówno na poziomie indeksu jak i zdarzenia. Wygodna analiza incydentów w czasie rzeczywistym z uwzglêdnieniem ich znaczenia dla bezpieczeñstwa. Passus sp. z o.o. | ul. Wiktorska 63, 02-587 Warszawa | tel./faks: (+48 22) 540 18 00 | e-mail: [email protected] | www.passus.pl Podgl¹d do informacji istotnej z punktu widzenia zarz¹dzania incydentami. Mo¿liwoœæ wspó³dzielenia kokpitów i raportów z innymi u¿ytkownikami upraszcza zarówno przekazywanie zadañ, jak i kontrolê nad ich realizacj¹. Elastycznoœæ i skalowalnoœæ Splunk jest rozwi¹zaniem elastycznym i skalowalnym, które zosta³o zaprojektowane, aby ewoluowaæ wraz z rosn¹c¹ liczb¹ danych i zmianami w infrastrukturze IT. Aplikacja mo¿e byæ zainstalowana na wielu systemach operacyjnych – Windows, Linux, Unix, Mac, a tak¿e w œrodowisku wirtualnym. Przestrzeñ dyskowa mo¿e byæ powiêkszana wraz ze wzrostem iloœci danych w oparciu o powszechnie dostêpne urz¹dzenia. Bran¿owe wyró¿nienia i nagrody przyznane oprogramowaniu Splunk Jakoœæ rozwi¹zania w zakresie funkcjonalnoœci SIEM potwierdzaj¹ wyró¿nienia i nagrody przyznane w 2013 roku przez niezale¿ne instytucje. Firma badawcza Gartner umieœci³a rozwi¹zanie Splunk gronie liderów i wizjonerów w Gartner SIEM Magic Quadrant. SC Magazine przyzna³ Splunk tytu³ „Best SIEM Solution” w Stanach Zjednoczonych oraz „Best Enterprise Security Solution” w Europie. Redakcja magazynu Tech Target’s Information Security wyró¿ni³a Splunk jako najlepsze rozwi¹zanie w kategorii SIEM. Aplikacja jest dostosowana do pracy w strukturach rozproszonych tzn. w wielu centrach danych, znajduj¹cych siê w ró¿nych punktach geograficznych. Dodatkowe aplikacje pozwalaj¹ rozszerzyæ funkcjonalnoœæ systemu i zintegrowaæ go z rozwi¹zaniami firm trzecich. Szerokie mo¿liwoœci samodzielnego tworzenia konektorów i aplikacji umo¿liwiaj¹ wykorzystanie danych pochodz¹cych z nietypowych rozwi¹zañ i pomagaj¹ dostosowaæ system do indywidualnych potrzeb. Passus sp. z o.o. | ul. Wiktorska 63, 02-587 Warszawa | tel./faks: (+48 22) 540 18 00 | e-mail: [email protected] | www.passus.pl Szczegó³owa analiza anomalii i odchyleñ. SPLUNK APPS - NARZÊDZIA ANALITYCZNE ZAPEWNIAJ¥CE ELASTYCZNOŒÆ ROZWI¥ZANIA Splunk Apps to gotowe zestawy narzêdzi analitycznych przeznaczonych dla ró¿nych technologii lub produktów firm trzecich obejmuj¹ce raporty, kokpity oraz wzorce wyszukiwañ . Wybrane przyk³ady aplikacji Splunk QualysGuard – aplikacja zapewniaj¹ca dostêp do w pe³ni konfigurowalnych kokpitów oraz wzorców wyszukiwania informacji generowanych przez Qualys Guard. Splunk for Palo Alto Networks – narzêdzie generuj¹ce zaawansowane raporty i analizy na podstawie danych generowanych przez firewalle Palo Alto. Splunk for OSSEC – aplikacja u³atwiaj¹ca wyszukiwanie oraz prezentacjê danych pochodz¹cych z monitoringu systemu OSSEC (Host-based Intrusion Detection System) umo¿liwiaj¹cego m.in. analizê logów, sprawdzanie integralnoœci plików, monitoring polityk bezpieczeñstwa, wykrywanie obiektów umo¿liwiaj¹cych przeprowadzenie ataku. Windows Security Operations Center – aplikacja dostarczaj¹ca informacji dotycz¹cych bezpieczeñstwa w œrodowisku Windows. Wspó³pracuje z serwerowymi wersjami Windows 2003, Windows 2008, Windows 2012, pracuje tak¿e w œrodowiskach mieszanych. Passus sp. z o.o. | ul. Wiktorska 63, 02-587 Warszawa | tel./faks: (+48 22) 540 18 00 | e-mail: [email protected] | www.passus.pl Grupa Passus jest polskim integratorem i dostawc¹ wysoko specjalizowanych rozwi¹zañ informatycznych i telekomunikacyjnych, obejmuj¹cych w szczególnoœci: wydajnoœæ sieci i aplikacji, bezpieczeñstwo œrodowiska IT, zarz¹dzanie œrodowiskiem SharePoint dedykowane rozwi¹zania dla biznesu i administracji, rozwi¹zania radiotelekomunikacyjne. Tym, co wyró¿nia Grupê Passus spoœród firm integracyjnych, jest elastycznoœæ i koncentracja na rzeczywistych potrzebach Klienta. P³aska i przejrzysta struktura organizacyjna spó³ki oraz ograniczone do niezbêdnego minimum procedury pozwalaj¹ szybko i skutecznie reagowaæ na oczekiwania Klienta. Ponad 20 lat wspó³pracy z firmami oraz instytucjami z Polski i z zagranicy zaowocowa³o znajomoœci¹ uwarunkowañ biznesowych i technicznych tych organizacji. Do grona Klientów w Polsce nale¿¹ tak wymagaj¹cy partnerzy, jak m.in. Agencja Rezerw Materia³ów, Bank Pocztowy, Bank PKO BP, Bilfinger Berger, Centralny Zarz¹d S³u¿by Wiêziennej, Centrum Onkologii w Gliwicach, Elektrociep³ownia w Kozienicach, Enea Operator, K.G. Pañstwowej Stra¿y Po¿arnej, Leroy Merlin, Orange, Orlen, Polkomtel, Politechnika Rzeszowska, Politechnika Warszawska, Sygma Bank, Tauron, T-Mobile, Volkswagen Polska. Na œwiecie z rozwi¹zañ Grupy korzystaj¹ m.in. Senat Stanów Zjednoczonych, Los Angeles World Airports, ThyssenKrupp Steel USA, Tyco International, Mobile World Finlandia, X-TRA Izrael, Jarash Group Jemen. Bazuj¹c na w³asnych produktach i us³ugach oraz technologiach uznanych œwiatowych producentów, Passus tworzy i wdra¿a rozwi¹zania, precyzyjnie dostosowane do wymagañ klienta. Spó³ka zapewnia klientom kompleksow¹ obs³ugê, pocz¹wszy od analizy potrzeb, przez planowanie, us³ugi wdro¿eniowe, szkolenia pracowników, a¿ po opiekê serwisow¹ oraz posprzeda¿n¹. Oferowane rozwi¹zania s¹ przygotowywane w oparciu o produkty takich firm, jak m.in. Cisco, CORE Security, Datapolis, Draka, Dundas, Embedos, Fluke Networks, Iconics, Microsoft, Powerwave, Radiall, Riverbed, Spinner. Passus posiada tak¿e w³asne zespo³y programistów i in¿ynierów, którzy tworz¹ kompletne rozwi¹zania na indywidualne zamówienie Klienta. Grupa Passus dzia³a na rynku IT od 1992 roku. Zatrudnia blisko 100 wykwalifikowanych pracowników – in¿ynierów, programistów i specjalistów. Nasi in¿ynierowie w ci¹gu dwóch pierwszych lat pracy maj¹ obowi¹zek potwierdziæ swoje kompetencje, uzyskuj¹c jeden z presti¿owych certyfikatów Cisco lub Microsoft. Potwierdzeniem kompetencji zespo³u, obok wielu udanych wdro¿eñ, s¹ tak¿e statusy partnerskie: Microsoft (Gold Application Development, Gold Collaboration and Content, Gold Communications oraz Silver w kategoriach: Business Intelligence, Data Platform, Midmarket Solution Provider, Mobillity i Server Platform) oraz Cisco Premier Partner, Oracle Silver Partner, tytu³ Dystrybutora Roku Powerwave, Fluke Networks Premier Advantage Partner oraz Spinner Distributor Award. Firma zosta³a doceniona przez niezale¿ne organizacje – jest m.in. czterokrotnym laureatem nagrody „Gazele Biznesu”, finalist¹ konkursu na najlepsz¹ strategiê personaln¹ „Inwestycja w Kadry” i uczestnikiem programu „Bia³a Lista”. W 2008 roku firma zosta³a uhonorowana tytu³em „Przedsiêbiorstwo Fair Play”. Oferowane przez spó³kê produkty by³y te¿ wielokrotnie nagradzane na targach informatycznych i telekomunikacyjnych m.in. otrzyma³y Zloty Medal i Puchar Targów Intertelecom. Passus sp. z o.o. | ul. Wiktorska 63, 02-587 Warszawa | tel./faks: (+48 22) 540 18 00 | e-mail: [email protected] | www.passus.pl