LogInspect

Brugervenligt
LogInspect er designet med tanke for enkelthed, og selv komplekse funktioner som Event Correlation er gjort nemme at bruge. Vi mener, at enkelthed er kernen bag at gøre et produkt som LogInspect virkeligt brugbart. Det er mere værdifuldt, hvis den indsamlede information kan præsenteres og nås på en nem måde. LogInspect viser informationerne i en struktureret oversigt, hvor man hurtigt kan opdage nye tendenser og gå ned i den relevante information.

C-I-A Impact scoring
Vi har implementeret den velkendte C-I-A model (Confidentiality, Integrity og Availability) direkte i vores kerneprodukt. LogInspect beregner en score for en trussels påvirkning ved alle opdagede events. Dermed kan man bruge risikovurderingsmodellen direkte i IT sikkerhedsdriften og fokusere på de vigtigste trusler først.

Skalerbar løsning
Flere LogInspect units kan samarbejde i et distribueret miljø sammen med det centraliserede trusselsanalysesystem -  Centralized Threat Analysis System (CTAS). Det skalerbare design er praktisk for virksomheder med flere kontorer, der har brug for en centraliseret overblik.

Meddelelser og svar
Systemindehavere kan modtage e-mail meddelelser, når der opdages kritiske events. Dette kan selvfølgelig værer brugerdefineret, så brugeren kan vælge det trusselsniveau, han ønsker meddelse om. LogInspect Active Response giver dig mulighed for at lave et automatisk systemsvar, når en event opstår. Det kunne fx være at blokere en IP i firewall'en eller deaktivere en brugerkonto automatisk.

Modulære rapporter
Den integrerede rapportmortor muliggør skræddersyet rapportering. Rapporter kan planlægges, så de hver måned er klar til analyse i indbakken eller man kan bruge prædefinerede templates. Disse templates dækker en række rapporter, som normalt bruges til compliance og sikkerhedskrav.

Kompatibilitet
LogInspect er designet med åbne protokoller (fx Syslog og SNMP) til at indsamle data og er dermed født kompatible med de fleste tænkelige systemer på markedet.

Avanceret analyse
LogInspect indeholder to avancerede sporingsmotorer. Den såkaldte Event Correlation motor, der kan spore mønstre af events, sådan at et "flere mislykkede brugerkonto logins" fulgt af "succesfuld login" fra den samme bruger vil trigge et "Attempted Bruteforce Login" event. Den anden avancerede motor er NADE (Network Abnormally Detection Engine), som kan trigge et event på mønstre, der er opdaget i netværksflowet. Et eksempel kunne være "Muligt inficeret spam host" bare ved at kigge på den måde, netværkskommunikationen opfører sig på.

Åbent regel framework
Det framework, der er brugt til at oprette regler er åbent for alle brugere, hvilket muliggør sharing og oprettelse af regler i hele LogInspect miljøet. Hvad enten det er Correlation, Log Signature eller NADE Signature så kan alting tilpasses. Selv ImmuneSecurity Certified Signatures er åben.

INDSAML – GEM – ANALYSÉR – RAPPORTÉR

Lovmæssige eller sikkerhedsmæssige krav betyder, at man skal indsamle logs. Log data indsamles fra et hvilket som helst antal devices på et netværk og oprettes i millionvis hver dag, hvilket resulterer i en svimlende mængde, der i sig selv er en kæmpe opgave at administrere.

Det er af altafgørende betydning for IT kontrollen og for compliance at den massive mænge log data lagres sikkert. LogInspect arkitekturen sikrer, at ethvert IT miljø, hvad enten det er lokalt eller distribueret over hele verden, kan skaleres til at passe til selv de mest krævende IT infrastrukturer.  

Analyse er den mest sofistikerede del af LogInspect. Forskellige devices genererer logs i et bestemt, inkonsistent og ofte kryptisk format, som er svært at analysere uden dybdegående og specifik systemekspertise. Derudover kan mange af de forhold, der indikerer problemer, kun opdages, når logs er korrelerede eller bliver sammenholdt med logs på andre systemer og devices. Hvis de fanges i tide, kan disse tegn alamere personalet, så de kan tage de nødvendige forholdsregler, før sikkerheden sættes over styr.

LogInspect analysen foregår i real-time, så man har et øjeblikkeligt indblik i usædvanlig og mistænkelig bruger-/netværksaktivitet -  en opgave, det er umuligt at klare manuelt selv i mellemstore virksomheder.

Når først en bestemt opgave er defineret, er rapportering det bedste administrationsværktøj til kontrol. LogInspect indeholder en effektiv rapporteringsgenerator, der gør det nemt at definere og planlægge relevante rapporter baseret på såvel standard compliance som helt skræddersyede krav.

Generering af forretningsmæssig værdi med Log Management

De fleste organisationer har i dag erkendt og indset, at en Log Management løsning har en klar forretningsmæssig værdi – automatisering af lovmæssige processer, forbedret effektivitet for forensic undersøgelser, forbedrede fejlsøgnings-turnaround tider og en generelt bedre sikkerhedssituation - men med LogInspect er der endnu flere fordele ved en Log Management løsning:

Forøget fleksibilitet

I disse økonomisk besværlige tider er marginen for forretningsmæssige fejl meget lille. Når services er IT afhængige, kan uventede performance problemer og sikkerhedsbrud influere alvorligt på virksomhedens konkurrencedygtighed.  En effektiv Log Management løsning forbedrer din forretningsmæssige og IT fleksibilitet, fordi du hurtigt kan handle, når der opstår uventede situationer og problemer, og dermed undgår, at performance bliver påvirket eller at indtægter går tabt.

Forbedring af forretningsprocesser

Eftersom logs er records, der viser, hvad et system gør minut for minut, kan den rette LogInspect løsning give en detaljeret forståelse for de fleste aspekter i virksomheden lige fra identificering af operationelle flaskehalse til sporing af ressourceforbruget. Den indsigt, som log data giver i virksomheden, kan hjælpe dig med at bedømme og optimere kritiske processer.

Reduceret forretningsmæssig risiko

Et sikkerhedsbrud kan skade en virksomheds omdømme i lang tid. Det negative pres, der kommer af at have tabt sensitive kundedata såsom kreditkort informationer eller personnumre kan ikke alene skabe mistillid fra kundernes side og dermed påvirke salget og omsætningen men også have en negativ indflydelse på indbydes forretningsmæssige forhold og partnerskaber. De direkte omkostninger i forbindelse med oprydning efter et sikkerhedsproblem kan også være meget store. Store bøder som følge af non-compliance, omkosntninger i forbindelse med sagsanlæg og civile søgsmål kan tilsammen blive voldsomt dyrt.

LogInspect løsningerne reducerer risikoen og omkostningerne i forbindelse med sikkerhedsbrud betydeligt ved proaktivt at opdage mønstre, der indikerer et brud, så medarbejderne kan løse problemet, før den kostbare skade er sket.

Bedre gennemsigtighed for ledelsen

Den administrative ledelse har stor fordel af LogInspect's dashboards og rapporter, der giver gennemsigtighed i aktiviteter på tværs af afdelinger, som fx operationelle og sikkerheds-metrix, IT-styring i virksomheden og regulerende initiativer. Med summariske rapporter og analysefunktionaliteter kan ledelsen foretage en hurtig vurdering af udviklingen og få overblik over den generelle IT strukturs DNA.

Reducerede omkostninger

Med LogInspect's løsninger kan man hurtigere identificere kritiske sikkerheds- og performance-problemer og dermed reducere omkostningerne ved med service-forstyrrelser, sikkerhedsbrud og non-compliance betragteligt. Med automatisering af compliance processerne og prædefinerede rapporter bliver de omkostninger, der er forbundet med at forberede  sig på audits og forblive compliant, også stærkt reduceret.

Herudover hjælper LogInspect med at forbedre service-niveauer uden personaleforøgelser og formindske byrderne for eksisternde ressourcer gennem automatisering af rutineopgaver. I tider med stadigt strammere budgetter og personalereduktioner hjælper LogInspect virksomhederne til at kunne gøre mere med mindre ved at adressere flere krav på tværs af afdelingerne.

Brugervenligt
LogInspect er designet med tanke for enkelthed, og selv komplekse funktioner som Event Correlation er gjort nemme at bruge. Vi mener, at enkelthed er kernen bag at gøre et produkt som LogInspect virkeligt brugbart. Det er mere værdifúldt, hvis den indsamlede information kan præsenteres og nås på en nem måde. LogInspect viser informationerne i en struktureret oversigt, hvor man hurtigt kan opdage nye tendenser og gå ned i den relevante information.

C-I-A Impact scoring
Vi har implementeret den velkendte C-I-A model (Confidentiality, Integrity og Availability) direkte i vores kerneprodukt. LogInspect beregner en score for en trussels påvirkning ved alle opdagede events. Dermed kan man bruge risikovurderingsmodellen direkte i IT sikkerhedsdriften og fokusere på de vigtigste trusler først.

Skalerbar løsning
Flere LogInspect units kan samarbejde i et distribueret miljø sammen med det centraliserede trusselsanalysesystem -  Centralized Threat Analysis System (CTAS). Det skalerbare design er praktisk for virksomheder med flere kontorer, der har brug for en centraliseret overblik.

Meddelelser og svar
Systemindehavere kan modtage e-mail meddelelser, når der opdages kritiske events. Dette kan selvfølgelig værer brugerdefineret, så brugeren kan vælge det trusselsniveau, han ønsker meddelse om. LogInspect Active Response giver dig mulighed for at lave et automatisk systemsvar, når en event opstår. Det kunne fx være at blokere en IP i firewall'en eller deaktivere en brugerkonto automatisk.

Modulære rapporter
Den integrerede rapportmortor muliggør skræddersyet rapportering. Rapporter kan planlægges, så de hver måned er klar til analyse i indbakken eller man kan bruge prædefinerede templates. Disse templates dækker en række rapporter, som normalt bruges til compliance og sikkerhedskrav.

Kompatibilitet
LogInspect er designet med åbne protokoller (fx Syslog og SNMP) til at indsamle data og er dermed født kompatible med de fleste tænkelige systemer på markedet.

Avanceret analyse
LogInspect indeholder to avancerede sporingsmotorer. Den såkaldte Event Correlation motor, der kan spore mønstre af events, sådan at et "flere mislykkede brugerkonto logins" fulgt af "succesfuld login" fra den samme bruger vil trigge et "Attempted Bruteforce Login" event. Den anden avancerede motor er NADE (Network Abnormally Detection Engine), som kan trigge et event på mønstre, der er opdaget i netværksflowet. Et eksempel kunne være "Muligt inficeret spam host" bare ved at kigge på den måde, netværkskommunikationen opfører sig på.

Åbent regel framework
Det framework, der er brugt til at oprette regler er åbent for alle brugere, hvilket muliggør sharing og oprettelse af regler i hele LogInspect miljøet. Hvad enten det er Correlation, Log Signature eller NADE Signature så kan alting tilpasses. Selv ImmuneSecurity Certified Signatures er åben.

Out-of-the-box løsning

Med LogInspect har man et sikkert, centraliseret arkiv, der automatisk analyserer log meddelelser i realtime. Log konsolidering og den sikre lagring af dokumentation betyder, at man kan gå ind på en enkelt brugergrænseflade og administrere hele den værdifulde log information. Det sikre arkiv betyder, at du ikke mister nogen log meddelelser pga et systemnedbrud eller et hacker-angreb.

• Auto-discovery
  Nye relaterede syslog hosts opdages automatisk og det gør distributionen langt lettere.
   
• Understøttede log agenter
  LogInspect understøtter alle syslog kompatible agenter, der sender (udp/tcp) syslog meddelelser. Agenter kan også transmittere logs fra nonkompatible systemer som Windows eventlog og flade tekstfiler.
   
• Tidssynkronisering
  LogInspect benytter NTP til tidssynkronisering og "fordobler" modtagne tidsstempel meddelelser. På den måde kan man lagre tidsstemplet for de individuelle meddelelser og de modtagne host tidsstempler.

Real-time og historiske data

I det sikre centraliserede log arkiv kan du indsamle og gemme alle log meddelelser.

• Log data integritet
  Der er ingen brugere af LogInspect produktet, der har adgang til at ændre lagrede log data. De arkiverede log data har en kontrolsum tilknyttet for at sikre integriteten.
   
• Log komprimering
  LogInspect minimerer den krævede lagringsplads. Logs er generelt komprimeret med faktor 1:18. Komprimeringsfaktoren kan variere for forskellige datatyper.
   
• Log bevaring
  Gør det muligt at definere en policy for lagringstiden for hver log source.
   
• Backup og restore
  Backup behandles separat for konfigurationsopsætninger og det rå logmateriale.

Real-time alarmering og avancerede rapporteringsfunktioner

Den indbyggede, intelligente log analyse-motor opdager automatisk en kritisk event og sender en meddelelse herom. Overvågede events kan være et igangværende angreb, et kompromiseret system, et systemnedbrud eller en brugergodkendelse.

• Event normalisering
  Events bliver normaliserede i et generisk dataformat - hvilket gør korrelation, rapportering og søgning langt mere effektivt.
   
• Realtime log analyse
  Opdager automatisk systemfejl, angreb, netværksproblemer, mislykkede backup rutiner, brugergodkendelser, sikkerhedsændringer m.m.
   
• Event korrelation
  Events korreleres på tværs af flere log sources for at opdage ondsindet adfærd.
• Regelopdatering
  Registrerede produkter modtager automatisk nye log intelligense og korrelationsregler hvert 15 minut. Brugeren har adgang til regeldatabasen, så han kan oprette nye regler eller redigere i de eksisterende.
   
• Log indsamling
  Events indsamles i trusselskategorier og sammenfattes.
   
• Trend analyse
  Flere trend- og statistikanalyseoversigter er integreret.
• Bedømmelse af påvirkning
  Hvert sikkerheds-event vejes op mod aktivets risikoværdier. Vægten beregnes baseret på hvert sikkerheds-events trusselsindex og aktivets fortrolighedsniveau, integritet og availability værdier.
   
• Understøttede log intelligense
  LogInspect understøtter en lang række kommercielle og open source log sources. Dette strækker sig fra Microsoft og forskellige UNIX platforme til sikkerhed og netværksudstyr til applikationer.
  
  Den såkaldte integrerede Network Abnormally Detection Engine (NADE) behandler og analyserer firewall netværkskommunikations-sessions i realtime. På den måde kan man nemt udtrække rapporter for netværksflowet, hvor man kan se hvem, der kommunikerede med hvad, hvornår og hvor. En anden fordel er, at ondsindet netværkskommunikationsadfærd nemt opdages i trendanalysen.
   
• Netværksflow alalyse
  Vores Network Abnormally Detection Engine (NADE) udfører realtime netværksflow analyse.
   
• Netværksflow trends
  Der genereres rapporter for følgende top blokerede, tilladte og kombinerede netværksflows: Source and Destination forbindelser, Source and Destinations services, Destination IP Protocol.
   
• Netværksflow søgning
  Der er integreret en avanceret søgning, så man kan udtrække rapporter over hvem, der har kommunikeret med hvad, hvornår og hvor.

Administration af sikkerheds-events

Administration af sikkerheds-events er langt mere værdifuld, hvis den indsamlede information kan præsenteres og nås på en nem måde. LogInspect viser informationerne i en struktureret oversigt, hvor man hurtigt kan opdage nye tendenser og gå ned i den relevante information.

• Trusselsmatrix
  Med den såkaldte trusselsmatrix kan du hurtigt identificere de mest kritiske events i relation til din forretningsmæssige risikovurdering.
   
• Risikovurdering
  Hvert aktiv kan have et risikoværdisæt, der dækker fortrolighedsniveauet, integriteten og availabilty for det aktiv.
   
• Automatiske meddelelser
  Indehavere af aktiver modtager e-mails om opdagede sikkerhedsbegivenheder. Indehaverne kan justere trusselsniveauet til et, de viil have meddelelser om.
   
• Rapportering
  Det kan genereres avancerede PDF rapporter til rapportering.
   
• Gruppering af aktiver
  Man kan gruppere flere aktiver sammen i et fælles view.
   
• Søgning
  Man kan foretage søgninger på sikkerheds-events, netværksflow og rå log data.
   
• Brugeradminstration
  Flere brugere kan oprettes til at have adgang til systemet.
   
• Nemt adminstrerbar løsning
  Der er lagt stor vægt ppå at gøre produktet så anvendeligt og intuitivt som muligt.
   
• Platform
  Bundled løsning, bygget på ImmuneSecurity's Secure CoreOS platform med et fuldstændigt web management interface. Produktet kan installeres direkte i VMware eller leveres på vores maskiner.
   
• Web administration
  Konfiguration og Log Management foregår gennem et krypteret web interface.
   
• Patch Management
  Nye krypterede software opdateringer hentes automatisk, så de nemt og hurtigt kan installeres - med et enkelt klik.

Fuldstændigt overblik

LogInspect kan hjælpe dig med at få et fuldstændigt overblik over dit netværk og kan derudover hjælpe dig med at overholde almindelige regulativer som fx PCI, Sarbanes Oxley, HIPAA, Basel-II, ISO-17799 (revision og overvågning) samt ISO27001, herunder DS-484:2005. LogInspect indeholder færdiglavede templates til de mest almindelige use cases såsom compliance- og sikkerhedsrapporter. Men rapporterne kan også skræddersys ved hjælp af den modulære rapportmotor, så de tilpasses dine behov.

• Rapporter om sikkerhedsændringer i aktiver
  Sikkerhedsændringer i et systemakttiv registreres i en "Sikkerhedsændringskategori".
   
• Rapporter om brugertilladelser
  Brugertilladelser gemmes til rapportering af succesfulde og fejlslagne administratorforsøg samt succesfulde og fejlslagne brugerforsøg.
   
• Rapporter om sikkerhedshændelser
  Sikkerhedshændelser og systemfejl opdages automatisk og rapporteres af LogIinspect.
  Udover præsentation af resultaterne i let læste rapporter imødekommer vi også andre regulerede krav som fx:
   
• Integritet af logs
  De indsamlede log data lagres i et sikkert arkiv, som beskytter mod dataændringer og at audit logs forsvinder (med kontrolsummer og dobbelte timestamps).
   
• Adgang til originale log data
  Der er adgang til det originale log format til brug for backup samt forensic og statistisk brug. Det giver stor fleksibilitet, når det integreres med eksterne leverandører.
   
• Indehavere af aktivet
  Hvert defineret aktiv kan have en primær indehaver og en liste med sekundære indehavere. Det gør processen med svar på hændelser og administration af hændelser mere problemfri, da der kan opstilles og udpeges en default person (eller gruppe).
• Rollebaseret adgang
  LogInspect har en meget kompleks rollebaseret adgangsmodel, som kan benyttes, hvis man har behov for det. Ved hvert view kan man definere, om det må vises eller ikke vises for en bruger, og hvert objekt kan desuden have sin egen opsætning. Et godt use-case eksempel på dette er at lade en bruger se (men ikke ændre) alle sider og kun vise de systemer han/hun har ansvaret for.
   
• Audit Logs
  Alle autentificeringsforsøg og alle foretagne brugerhandlinger, der resulterer i en ændring, logges i en audit log. Denne audit log kan bruges til at tracke ændringer og opdage fejl baseret på konfigurationer, hvem foretog ændringerne og hvorfra.

Brochurer og dokumenter

• LogInspect brochure (DK)
• LogInspect brochure (UK)
• Nyhedsbrev fra ImmuneSecurity - Sommer 2010 (DK)
• Log Management vs. Strudsemetoden (PDF)