CorreLog Server 5.1

CorreLog Server indeholder en standard-baseret metode til indsamling af alle dit netværks system log meddelelser ved hjælp af syslog protokoller og SNMP traps.

Disse meddelelser korreleres derefter til forståelige threads, alarmer og actions vha avancerede (men nemt konfigurerbare) regler og reduceres til "tickets", der sendes til brugerne og som sætter en automatisk afhjælpning af hændelserne i gang.

CorreLog Server tilbyder din virksomhed en speciel applikation til sikkerhedsovervågning og indeholder en lang række specielle funktioner, der understøtter denne kritiske rolle, herunder data kryptering, præ-designede korrelationsregler og TCP tunneling software.

Produktet understøtter naturligvis også andre af CorreLog's roller, herunder performance management, analyse af forretningsinformation og log fil analyse.

CorreLog Server er CorreLog's flagskibsprodukt. Det indeholder kernefunktionaliteten til implementering af fuld SIEM kapabilitet i din virksomhed.

Dette 100% web-baserede system indeholder CorreLog's high-speed indsamling af meddelelser, en indekseret søgemaskine, en dashboard facilitet, der kan udvides, rapporteringsfunktion, ticket funktion og en unik korrelationsmotor. Enkeltheden og effektiviteten sætter hele tiden nye standarder i branchen.

CorreLog Server er specielt designet til at få det bedste ud af mulighederne i din eksisterende infrastruktur uden omfattende installationer af agenter eller anden software. Programmet er designet til høj kapasitet, opsamling af meddelelser på enterprise niveau, small footprint, med mulighed for udvidelser og med et højt niveau af intern sikkerhed - alt sammen på en enkelt, web-baseret konsol.

• High speed modtagelse af meddelelser
  CorreLog kan fungere som den eneste SNMP Trap and Syslog receiver for alle devices på store virksomheders netværk. CorreLog kan behandle mere end 2000 meddelelser pr. sekund og kan håndtere store mængder trafik med mere end 10.000 meddelelser på et sekund (afhængigt af det understøttende hardware). CorreLog finder og katalogiserer devices på netværket uden en fast øvre grænse. Du kan modtage meddelelser fra praktisk talt et ubegrænset antal kilder.
  
  
• High speed korrelation af meddelelser
  CorreLog benytter en avanceret korrelationsmotor, der udfører semantiske analyser af dine meddelelser i real-time. Systemet bruger korrelation threads, korrelation tællere, korrelationsalarmer og korrelationstærskelværdier, hvilket forbedrer og reducerer dine indkommende meddelelser til noget, der er nemt at forstå. Vi var først på markedet med forskellige korrelationsteknikker og redefinerer hermed det nyeste indenfor "semantisk korrelation".
  
  
• Fleksibel rapportering
  CorreLog inkorporerer forskellige rapporteringsfaciliteter, herunder en Excel-baseret rapporteringsfunktion, der udfylder regneark med  sammenfatninger og detaljeret event information, samt en ODBC rapporteringsfunktion, der udfylder en eller flere databaser med rapport information til understøttelse af tredieparts rapportværktøjer (fx Crystal Reports). Herudover indeholder CorreLog en omfattende dashboard facilitet, en "Pivot" log analyzer (til analyse af firewall data, HTTP server logs og andre  "almindelige" data) samt omfattende grafiske værktøjer til brug for rapportering af korrelationsresultater. CorreLog Server er prækonfigureret med compliancy rapporter og korrelationsregler til at understøtte disse rapporter. Yderligere rapporterings-templates kan downloades (eller gemmes) ved hjælp af en indbygget "Template" funktion.
  
  
• Data indsamlings- og arkiveringsfunktioner
  CorreLog systemet kan indsamle enorme mænger data. Det kan samle over 1 Gigabyte hver dag på et enkelt site og lagre disse data online i op til 500 dage (hvis der er nok plads.) Herudover komprimerer og arkiverer CorreLog dine data og beholder disse data i mere end 10 år(5000 dage). Til hjælp for forensics og længerevarende analyse genererer CorreLog arkivdata såsom MD5 kontrolsummer og sikkerhedskoder.
  
  
• Data-søgning
  En af de vigtigtste funktioner i CorreLog system programmet er dets søgeegenskaber. CorreLog bruger sit eget GenDex (Generate Data Extraction) program, som benytter et high speed, real-time index system. Dette giver mulighed for hurtige søgninger gennem kæmpe mængder af meddelelses-data. Denne motors performance kan måle sig med de hurtigste søgemaskiner på markedet. Brugere kan søge gennem en terabyte data på et specifikt nøgleord på mindre end ét sekund.
  
  
• Taksonomi, ontologi og katalogfunktioner
  Taksonomi og kategorisering af data er kernen i vores unikke korrelationssystem. CorreLog Server katalogiserer automatisk information efter IP adresse, brugernavn, facilitet og vigtighed. Brugere kan derudover oprette kataloger med information baseret på enkle eller komplekse match mønstre. Data bliver katalogiseret i forhold til specifikationer bestående af enkle nøgleord, wildcards og almindelige udtryk, logiske tilkendegivelser af wildcards, makro definitioner af almindelige udtryk og logiske kombinationer af makroer. Dette giver fuldstændig fleksibilitet, når man administrerer og grupperer meddelelsesdata samtidig med, at man bibeholder en høj grad af data-gennemløb og undgår besvær med data-normalisering.
  
  
• Mulighed for at definere nye syslog faciliteter
  En af de bedst kendte begrænsninger i Syslog protokollen har altid været det, at de såkaldte "Facility" koder (der definerer data kilderne til syslog meddelelserne) er begrænset til 24 prædefinerede koder. CorreLog programmet fjerner denne begrænsning og tillader brugere at definere deres egne faciliteter, som fx  "applications" og "devmsgs", sådan at data bedre kan kategoriseres og administreres. Denne vigtige udvidelse af syslog protokollen åbner for nye vigtige indblik i den praktiske brug af Syslog meddelelser og deres korrelation, som ellers ikke var tilgængelige i standard specifikationen.
  
  
• Mulighed for at tilsidesætte indhold i meddelelser
  En af de bedst kendte begrænsninger i SNMP Trap og Syslog protokollen har altid været, at indsamlingen af meddelelser - da meddelelser er uopfordrede - har været afhængig af den meddelelse, vigtighed eller facilitet, der oprindeligt var specificeret af afsenderen af meddelelsen. I nogle tilfælde kan vigtigheden eller faciliteterne i en meddelelse være ulogiske. CorreLog programmet genkender denne eksisterende begrænsing og implementerer en avanceret "override" plan, der tillader brugerne at tilsidesætte en facilitet, vigtighed eller et device navn i en meddelelse. Dette er en stor hjlælp, når man skal kontrollere og korrelere data.
  
  
• Filterering af input
  For at reducere data loading og give mulighed for en fuldstændig kontrol over indkommende meddelelser kan CorreLog filtrere indkommende data i forhold til device, facilitet, vigtighed, meddelelsens nøgleord, tid på dagen eller enhver kombination af disse. Filtrerede data kan frasorteres eller lægges i et separat repository (og muligvis permanent arkiveres) til yderligere analyse eller forensics. Når disse data er filtreret, bliver de automatisk mærket med det specifikke filtreringsudtryk, hvilket er en hjælp ved analysen af de filtrerede data. CorreLog behandler filtrerede data med respekt og tillader dig at genimportere frasorterede data og ophæve enhver filtreringsfunktion.
  
  
• Automatisk afhjælpning og svar
  CorreLog systemet indeholder en enkel og udvidelig "Actions" eller handlings-funktionalitet, som giver dig mulighed for at udvælge specifikke meddelelser baseret på device, nøgleord, facilitet, vigtighed og/eller tid på dagen og køre programmer baseret på disse data. CorreLog Server indeholder utility programmer til opdatering af  relationelle ODBC databaser, videredirigering af syslog meddelelser, afsendelse af SNMP traps, afsendelse af e-mails og udførelse af andre handlinger. Denne facilitet er designet, så det er nemt for administratorer og udviklere at udvide de indeholdte korrelations- og ticketing services i programmet.
  
  
• Web-baseret konfiguration
  CorreLog Server systemet er fuldstændigt web-baseret. Alle aktiviteter, herunder oprettelsen af logins og tilladelser, bliver fuldstændigt arkiveret uden en native konsol. Det betyder, at en administrator normalt ikke behøver at gå in på CorreLog Server platformen, undtagen i sjældne tilfælde for at starte en process op eller lukke den ned. CorreLog Serveren kan placeres strategisk i et Network Operations Center (NOC) eller et sikkerhedsskab, hvilket er vigtigt i forhold til sikkerheden.
  
  
• Suite af utilities
  CorreLog Server systemet indeholder en suite af Win32 utilities i en lille pakke, der nemt installeres på Windows Vista, XP eller Windows 2000 servere. Disse utilities kan videredistribueres og gør det meget nemmere at administrere disse platforme med en Syslog protokol.

CorreLog Server FAQ

Hvordan er CorreLog systemet licenseret?
CorreLog tilbyder forskellige licenseringsmuligheder, herunder tidsbaserede licenser, node-specifikke licenser og site-specifikke licenser. Alle licenser installeres ved at gemme en tekstfil (som man får af CorreLog support) i et system directory. Systemet genererer automatisk en 30-dages licensfil på system-installationen.

Kræver CorreLog at du installerer en agent på hver server?
Correlog kræver kun en agent på Windows platforme. Native syslog, som det, der understøttes på UNIX platforme, routers og applikationer, kræver ikke en agent eller noget software for at kunne installeres.

Hvilke typer data kan CorreLog indsamle?
CorreLog indsamler real-time syslog meddelelser fra Windows, UNIX, Cisco og mange andre typer platforme. Herudover overvåger Correlog streaming log filer i ethvert tekstformat, herunder XML data eller Unicode data. CorreLog understøtter Unicode og  flere byte sprog såsom GB2312.

Hvilke databaser understøttes?
CorreLog understøtter enhver ODBC kompatibel database. Vi anbefaler MS SQL eller Oracle, men programmet arbejder også fint med andre databaser. Modsat mange enterprise packages kræver CorreLog ikke kun en bestemt database og kan endda arbejde uden, at en database er installeret eller til stede.

Hvor mange Events Per Second (EPS) kan systemet håndtere?
En standalone Correlog server kan håndtere mellem 2500 og 5000 EPS afhængigt af hardware konfigurationen. Fire CorreLog servere kan håndtere 10,000 EPS. Den teoretiske maksimumgrænse for en two-tier server er 10 million EPS indsamlet på tværs af flere CorreLog servere.

Hvordan ved jeg, at mine data ikke er blevet kompromitteret eller ændret?
CorreLog genererer automatisk MD5 kontrolsummer på log data og MD5er krypteret for at undgå at der bliver pillet ved data. CorreLog har også et transaktionsspor, der lagrer alle konfigurationsændringer i CorreLog. Disse elementer er alle særligt vigtige i forbindelse med data forensics.

Hvor sikre er login reglerne til CorreLog's admin account?
CorreLog benytter HTTP autensificering og krypteret HTTP. Det er verificerbar sikkerhed. Alle passwords på CorreLog serveren herunder database passwords, er krypterede. Herudover er TLS og AES-256 muligheder tilgængelige for amerikanske CorreLog kunder.

Er der forskellige sikkerhedsniveauer i CorreLog admin konsolen?
CorreLog benytter tre adgangsgrupper: "admin", "bruger" og "gæst". Alle brugere bliver tildelt en af disse roller, når deres login oprettes. Alle disse brugere kan samtidigt bruge CorreLog med deres forskellige adgangsopsætninger.

Hvor ofte får jeg opdateringer til softwaren?
Du kan installere en version oven på en anden på CorreLog serveren uden at miste data. Fordi agenterne benytter den standardbaserede syslog protokol til at kommunikere med serveren, behøver agenterne ikke nødvendigvis at blive opgraderet. Softwareopdateringerne er tilgængelige på CorreLog's website sammen med meddelelser om nye versioner. Der kommer en ny version af CorreLog med få måneders mellemrum.

Kan man overføre alle ens arkiverede data til CorreLog serveren?
CorreLog har en vigtig funktion, som lader dig migrere dine data over i CorreLog. Import funktionen er en alternativ måde at overføre data til CorreLog til brug for søgninger, korrelationer og arkivering.

Hvordan arkiverer CorreLog mine log data?
CorreLog arkiverer log data hver nat, komprimerer data og lagrer dem på et sted, der specificeres via CorreLog server web interfacet (såsom ekstern lagring). Der laves kontrolsummer på alle data og disse kontrolsummer krypteres for at undgå unødig indblanding. Arkiverne genskabes med det ovenfor nævnte CorreLog import program.

Hvor får jeg mere information?
Se mere på Drawares website: www.draware.dk eller ring til en af vores konsulenter på +45 45 76 20 21, så vi kan besvare eventuelle spørgsmål og hjælpe dig med at finde den helt rigtigt løsning til din virksomhed.

Hardware krav

Til evalueringer kan CorreLog køre på en lang række Windows OS systemer, lige fra Windows™ 200x, XP™, Vista™ og 7™ til så lidt som 512 MB hukommelse.

Herunder har vi opstillet anbefalinger til en succesfuld installation og kørsel af en CorreLog Server i et produktionsmiljø:

• CorreLog Small Business Server
  • 1 GB Memory
  • Network Interface Card med statisk IP adresse
  • 100 MB diskplads til hver dag med logging*
  • 20 MB diskplads til hver dag med arkivering*
     
• CorreLog Enterprise Server
  • 4 GB Memory med dual processor
  • High Performance Network Interface Card med statisk IP adresse
  • 10 GB diskplads til hver dag med logging*
  • 2 GB diskplads til hver dag med arkivering* (normalt på et netværksdrev)

Software krav

• CorreLog Small Business Server
• Windows 2003 eller Windows 2008 Server Windows XP eller
  Windows Vista kan bruges til evaluering eller mindre systemer
• Internet Explorer 7.0 eller tilsvarende**
• Adobe Acrobat Reader***
• Apache Server ( med installation)
• Microsoft Excel (valgbar rapportering)
   
• CorreLog Enterprise Server
  • Windows 2003 eller Windows 2008 Server
  • Internet Explorer 7.0 eller tilsvarende**
  • Adobe Acrobat Reader***
  • Apache Server (med installation)
  • Microsoft Excel (til valgbar raportering)

* Beregn 1 MB meddelelsesdata pr. dag pr. administreret device på et typisk netværk. Det reelle forbrug kan være mere eller mindre.

** Internet Explorer anbefales til klient arbejdsstationer. CorreLog er kompatibel med alle de populære browsers men nogle mindre funktioner kan kræve Internet Explorer.

*** Der kræves Adobe Acrobat hvis man skal se CorreLog’s elektroniske dokumentationsfiler og manualer.

Sikkerheds- og adgangskrav

En bruger skal have administrative rettigheder på CorreLog server platformen for at kunne installere og konfigurere softwaren.

Ved default benyttes følgende TCP og UDP porte af CorreLog Server systemet:

• TCP port 80 til understøttelse af remote HTTP browsers
• UDP port 514 til modtagelse af standard SYSLOG meddelelser
• UDP port 162 til modtagelse af standard SNMP Traps
• TCP port 51462 (valgfri), til understøttelse af krypteret CorreLog tunneling software

Hvis du kører Virus Scan software på CorreLog platformen, skal du udelukke CorreLog filerne fra enhver on-access scanning for at undgå performance problemer.

Syslog meddelelser

For at modtage Syslog meddelelser fra Windows 200X, Vista og XP platforme skal du installere CorreLog Windows Tool Set softwaren på hver klient platform. Dette er en standard del af CorreLog installationssoftwaren.

For at kunne modtage Syslog meddelelser fra UNIX systemer kræves der root access til klient platformen for at kunne konfigurere standard "syslog.conf" konfigurationsfilen.

Windows event logs

Installér CorreLog Windows Tool Set på klient serveren/serverne og/elelr arbejdsstationen/arbejdsstationerne som beskrevet i CorreLog Quick Installation Guide.

SNMP traps

Sæt trap destinationen for serveren, arbejdsstationen eller det pågældende device til at pege på CorreLog serveren.

Application logs

Installér CorreLog Windows Tool Set på klient platformene og konfigurér. (Kontakt om nødvendigt CorreLog for platforms-kompatible filer)

Andre bemærkninger

CorreLog is er et ekstremt fleksibelt system og understøtter mange platforme, som ikke er opremset her. I de fleste tilfælde er der ikke nogen problemer under installationen pga hardware begrænsninger. Kontakt Draware A/S eller se CorreLog System User Manual for mere detaljeret information.

On-line video fra CorreLog

• CorreLog Installation:

• CorreLog Server System Installation
• CorreLog Windows Agent Installation
• CorreLog UNIX System Syslog Configuration
• Advanced Agent Configuration
   

• CorreLog Message Screens:

• Messages / Devices Screen
• Messages / Users Screen
• Other Messages Screen
   

• CorreLog Correlation Screens:

• Correlation / Threads Screen
• Correlation / Actions Screen
• Other Correlation Screens
   

• CorreLog Ticketing Function:

• Tickets Screen
• Ticketing Actions
   

• CorreLog Reporting Function:

• Reports / Excel Screen
• Reports / RSS Screen
• Reports / ODBC Screen
• Reports / Pivot Screen
   

• CorreLog Java Dashboard Facility:

• Dashboard Screen
   

• CorreLog Adapters:

• Adapters Screen
• Adapters / Ping
• Adapters / SNMP
   

• CorreLog System Administration:

• System Screen

Brochure og dokumenter

• CorreLog (Copyright 2011 - © SCmagazineus May 2011)
• CorreLog Overview Datasheet
• CorreLog Total Compliance Suite
• CorreLog For PCI DSS Compliance
• CorreLog For NERC Compliance
• CorreLog For FISMA Compliance
• CorreLog For HIPAA Compliance
• CorreLog For GBLA Compliance 
• CorreLog For King III Compliance
• CorreLog Mainframe Datasheet
• CorreLog Change Tracker Enterprise
• Log Management vs. Strudsemetoden (PDF)

Support dokumentation

• CorreLog Quick Installation Guide
• CorreLog Windows Agent Configuration Guide 
• CorreLog Installation Requirements And FAQS 
• CorreLog SNMP Trap MIB Definitions File
• Sendlog C-Language Source Code
• Perl Sendlog Source Code 
• Perl Simple Log File Monitor Source Code 
• CorreLog Sigma Framework, DOS Batch File Example 
• RFC 3164 - Syslog Protocol Specification  
• CorreLog PCI-DSS Compliance Checklist 
• CorreLog General Licensing Agreement