"ประสบการณกวา 15 ปทกลนกรองมาเปนผลตภณฑการจดเกบบนทกขอมลจราจรคอมพวเตอรทคมคาทสดส าหรบผใชงาน"

SRAN NetApprove เกดจากการพฒนาวจยอยางตอเนอง ยาวนานกวา 2 ป โดยน าสงทคดวาเปนประโยชนสงสดส าหรบผใชงาน

บนนยามวา "Advance Centralized Log Management" เพราะเราเชอวาการมองเหนเปนสงส าคญ ซงท าใหเราประเมน

สถานการณตางๆ ได

ภาพรวมสถานการณขอมลทเกดขนบนเครอขายองคกร

บนหนาจอของ SRAN NetApprove เพยงหนาเดยวกท าใหทราบถงเหตการณและสถานการณปจจบนทเกดขน ทกหนาการ

แสดงผล ใน SRAN NetApprove สามารถพมพเปนรายงานเพอน าเสนอผบรหารได (Print to PDF Report) รองรบคาการ

แสดงผลผาน Web GUI และการออกแบบ Responsive Web Design ทสามารถใชงานไดทงบนเครองคอมพวเตอร และมอถอ

SRAN NetApprove คอ Full Functional Network Security and Logging Report โดยมคณสมบต

1. การส ารวจขอมลแบบอตโนมตเพอระบตวตนอปกรณบนระบบเครอขายคอมพวเตอร (Automatic Identification

Device) การคนหาอปกรณบนระบบเครอขายอยางอตโนมต เพอระบตวตนผใชงาน โดยไมตองปรบคาอนใดในอปกรณกสามารถท า

การคนหาอปกรณทอยบนระบบเครอขายคอมพวเตอรได

1.1 รายงานการคดแยกเครองทรจก (Known Device) และไมรจก (Unknown Device) ได โดยการยนยน (Approve) เปนทมาของ

ชอ "SRAN NetApprove" เมอท าการยนยนคาแลวหากมอปกรณแปลกปลอมเขาสระบบเครอขายกสามารถตรวจพบได (Rouge

Detection)

1.2 รายงาน BYOD (Bring Your Own Device) แสดงคาอปกรณพกพาทเขาสระบบเครอขายคอมพวเตอรขององคกรได ซงแยก

Desktop (คอมพวเตอรพกพา เชน โนตบก) และมอถอ (Mobile) โดยรวาใครน าเครองพกพามาใชงานภายในระบบเครอขายของ

องคกร

1.3 รายงานการเกบบนทกเปนคาอปกรณ (Device Inventory) โดยแยกการเกบคาจากอปกรณ (Device) ชอผใชงานจากระบบ

Active Directory, จาก Radius คาจากการ Authentication, คา IP Address ผใชงาน, คา MAC Address, แผนก (Department),

ยหอรนอปกรณเปนตน

1.4 รายงานการเกบบนทกคาซอฟตแวร (Software Inventory) จะท าการคนพบประเภทซอฟตแวรทใช ไดแก ซอฟตแวรประเภทเวบ

บราวเซอร, ซอฟตแวรประเภทมลตมเดย, ซอฟตแวรประเภทใชงานในออฟฟศ และซอฟตแวรทไมเหมาะสม เชนโปรแกรม Bittorrent

กสามารถตรวจและคนพบได

1.5 การวาดรปความเชอมโยงระบบเครอขาย (Topology) สรางภาพเสมอนบนระบบเครอขายเปน Network Topology แบบ Link

Chart ในการตดตอสอสาร (Interconnection)

ภาพการแสดงผลการเชอมตอขอมลบนระบบเครอขาย

2. การวเคราะหและเทคโนโลยในการตรวจจบความผดปกตขอมล (Detect and Analyzer) ประกอบดวย

2.1 Attack Detection รายงานการตรวจจบพฤตกรรมการโจมตระบบ ไดแก การ Brute Force รหสผานทเกดขนบนตวอปกรณ และเครอง

แมขายทส าคญ เชน Active Directory, Web Server, Mail Server เปนตน อกทงยงสามารถตรวจพบการโจมตโดยการยง Exploit เขาส

เครองแมขายทส าคญ เปนตน

2.2 Malware/Virus Detection รายงานการตรวจจบมลแวร /ไวรสคอมพวเตอรทเกดขนบนระบบเครอขาย สามารถท าการ

ตรวจจบไดโดยไมตองอาศยการลงซอฟตแวรทเครองลกขาย (Client) แตท าการตรวจผานการรบสงคาทเกดขนบนระบบ

เครอขายคอมพวเตอร

2.3 Bittorrent Detection รายงานการตรวจจบการใชงานโปรแกรมดาวนโหลดไฟลขนาดใหญทสงผลกระทบตอการใชงาน

ภาพรวมภายในองคกร

2.4 Tor/Proxy Detection รายงานการตรวจจบซอฟตแวรประเภทอ าพรางการสอสารเพอใชหลบเลยงการตรวจจบขอมลภายใน

ระบบเครอขายคอมพวเตอร

2.5 HTTP / SSL Analyzer รายงานการตรวจวเคราะหการใชงานเวบไซตพรอมจดท าสถตการใชงานอนเทอรเนตภายในองคกร

รายงานผลการใชงานอนเทอรเนตภายในองคกร

3. การวเคราะหขอมลจาก Log (Log Analytic)

3.1 Threat Analyze รายงานการวเคราะหขอมลจากการรวบรวมเหตการณภยคกคามทเกดขนภายในระบบเครอขายคอมพวเตอรของ

องคกร

3.2 Risk Analyzer (High, Medium, Low) รายงานการวเคราะหระดบเหตการณความเสยงระดบสง ความเสยงระดบกลาง และความ

เสยงระดบต าเพอแสดงคาและการจดท ารายงาน

รายงานความเสยงทเกดขนภายในองคกรทสามารถออกรายงานได รายชวโมง รายวน และรายเดอน

4. การเฝาตดตามปรมาณการใชงานขอมลภายในองคกร (Bandwidth Monitoring)

4.1 Protocol and Service Monitoring จะสามารถค านวณคาปรมาณ Bandwidth ทเกดขนบนระบบเครอขายได โดยแยก Protocol

TCP, UDP, ICMP และ Service ตาม Well Know Port Service ท าใหทราบถงปรมาณการใชงานขอมลไดอยางละเอยด และประเมน

สถานการณไดอยางแมนย า

4.2 Application Monitoring รายงานการใชแอปพลเคชน และปรมาณการใชขอมลภายในองคกรกวา 1,000 ชนด ไดแก SAP, ERP,

Oracle, Skype, Microsoft และ Enterprise ทมผลกระทบตอองคกร

4.3 Social Network Monitoring รายงานการใชงานเครอขายสงคมออนไลนเพอใหรถงปรมาณขอมลทใชภายในองคกร ไดแก

Facebook, Line, YouTube, Google Video, Twitter และ Pantip ท าใหผบรหารองคกรสามารถทราบความเคลอนไหว และการใช

ปรมาณขอมลภายในองคกร

ภาพ Facebook Monitoring ท าใหทราบถงการใชปรมาณการใชงานขอมลเครอขายสงคมออนไลน

4.4 User Monitoring รายงานและจดอนดบการใชงาน Bandwidth ภายในองคกร โดยจะเหนรายชอผใชจากคณสมบตขอ 1 ท าใหเรา

ทราบถงชอผใชงาน และคา Bandwidth ทสงสด และท ารายงานได

รายงานปรมาณการใชงาน Bandwidth ภายในองคกร

5.การคนหาขอมลในเชงลก(DeepSearch)

5.1 การพสจนหลกฐานทางขอมลสารสนเทศ (Network Forensic Evidence Data) คนหาเหตการณทเกดขน โดยแบงตามเนอหา

(Content Search) ดงน Web Access, Files Access, Network Connection, SSL, Mail, Data Base, Syslog, VoIP, Remote

Desktop, Radius และ Active Directory ซงสามารถคนหา Raw Log ทเกดขน ทงแบบปจจบน และยอนหลงได

5.2 การคนหารวดเรว และสามารถใชเงอนไขในการคนหา เชน AND, OR, NOT เขามาเกยวของ เพอใหการคนเปนไปอยางม

ประสทธภาพ

6. การเกบบนทกขอมลจราจรคอมพวเตอรและดยอนหลง (Log Record and Archive)

6.1 การเกบบนทกขอมลแบบ Raw Full Data เพอเปนประโยชนในการสบสวนสอบสวนและการหาผกระท าความผด ดวยการเกบบนทกท

สามารถท าไดแบบ Hybrid ซง SRAN NetApprove เปนตนฉบบของการท าวธน คอ การรบขอมลจราจรคอมพวเตอรแบบ Passive mode

และรบคาจากอปกรณอนได (Syslog)

6.2 รองรบคา Log จาก Active Directory, Router/Firewall/VPN, Mail Server (Exchange, Lotus Notes), DHCP, DNS, SNMP,

Radius Wi-Fi Controller และท าการแยกแยะคาการเกบ Log โดยแบงเปนหมวดใหโดยอตโนมต รองรบการเกบบนทกขอมลจราจร

คอมพวเตอรทเกยวของกบ Protocol ทใชกบอปกรณสอสารในโรงงานอตสาหกรรม ประเภท Modern SCADA System รองรบ Protocol

DNP3, Modbus (Modicon Communication Bus) เปนตน

6.3 มความสามารถในการ Export Data เพอใชในการพสจนหาหลกฐานได

6.4 การเกบบนทกขอมลมการยนยนความถกตองขอมล Integrity Hashing

ภาพการเกบบนทกขอมลจาก Syslog มการท า File Integrity เพอยนยนความถกตองของขอมล

(ผทเขาถงไฟลไดตองเปนระดบ Data Keeper ทองคกรไดมอบหมายรบผดชอบในสวนน)

7. การเกบบนทกคาส าหรบให IT Audit ในการตรวจสอบขอมลและใชเปนหลกฐาน (Log Audit)

7.1 การเกบบนทกคา Active Directory Login Success / Login Fail

7.2 การเกบบนทกคา SSH Login Success / Login Fail

รายงานการ Login ผดพลาดทเกดขน

7.3 Files Audit มความสามารถในการตรวจสอบการแกไขไฟลผาน Protocol การแชรไฟล ซงสามารถท าใหรถงการแกไขไฟล (Modify)

หรอแกไขชอ (Rename) การเปดไฟล (Open Files) และการลบไฟล (Delete Files) โดยไมตองลงซอฟตแวรอนเสรม

7.4 Login Audit มความสามารถในการตรวจสอบการ Login เขาสระบบวามการ Login ผด Login ถก และออกรายงานผลการ Login ของ

ผใชงานได

8. การวเคราะหไฟลตดเชอจากการตดตอสอสารบนระบบเครอขายคอมพวเตอร (Malware Analytic) 8.1 สามารถวเคราะหเพอหามลแวร (Malware Analytic File with Virustotal) โดยใชการตรวจสอบไฟลผานโปรแกรมแอนตไวรสกวา 50 ชนดผาน API Virustotal

9. การออกรายงาน (Report) 9.1 Executive Summary รายงานสรปสถานการณทงหมดส าหรบผบรหาร 9.2 Thai Cyber Law Act รายงานความเสยงทมโอกาสเขาขายตามความผดเกยวกบการใชงานคอมพวเตอรภายในองคกร โดยแยกแยะตามมาตรา 5, 6, 7, 8, 9, 10 และ 11

ภาพแสดงการออกแบบเปนระบบ Hybrid ทสามารถรบคา Log จาก Syslog ได

คณสมบตเพมเตมของ SRAN NetApprove

1. เปนอปกรณ Appliance ทไดรบการปรบปรง Firmware เพอปดชองโหว (Hardened) เปนทเรยบรอยแลว หรออปกรณคอมพวเตอรทไดมาตรฐาน สามารถเกบรวบรวมเหตการณ (Logs or Events) ทเกดขนในอปกรณทเปน Appliances และ Non-Appliances เชน Firewall, Network Devices ตาง ๆ ระบบปฏบตการ ระบบ Appliances ระบบเครอขาย และระบบฐานขอมล เปนตน ไดอยางนอย 3, 10, 15 อปกรณตอระบบ โดยสามารถแสดงผลอยภายใตรปแบบ (Format) เดยวกนได

2. มระบบการเขารหสขอมลเพอใชยนยนความถกตองของขอมลทจดเกบตามมาตรฐาน SHA-256 3. สามารถเกบ Log File ในรปแบบ Syslog ของอปกรณ เชน Router, Switch, Firewall, VPN, Server ได 4. สามารถบรหารจดการอปกรณผานมาตรฐาน HTTPS, Command Line Interface และ SSH ได 5. สามารถจดเกบ Log File ไดถกตอง ตรงตามพระราชบญญตวาดวยการกระท าผดเกยวกบคอมพวเตอร ฉบบทมผลบงคบใช โดย

ไดรบรองมาตรฐานการจดเกบและรกษาความปลอดภยของ Log File ทไดมาตรฐานของศนยอเลกทรอนกสและคอมพวเตอรแหงชาต (มศอ. 4003.1-2560)

6. สามารถท าการส ารองขอมล (Data Backup) ไปยงอปกรณจดเกบขอมลภายนอก เชน Tape หรอ DVD หรอ External Storage เปนตนได

***สามารถรองรบการปรบแตงอปกรณได

Model NG50 NG100 NG200

Capacity and Performance

Normal Log Rate (Event/Second) 1,000 7,000 20,000

Feature

1. Automatic Identification Device - Know Device/Unknown Device - Approve device/Rogue Detection - BYOD: Desktop/Mobile - Inventory: Device

2. Detection - Attack Detection (Brute Force, Exploit) - Malware/Virus Detection - Detect Software - Bittorrent Detection - Tor/Proxy Detection

3. Log Analysis: Security Information Event Management - Threat Analysis - Risk Analyzer (High, Medium, Low)

4. Bandwidth Monitoring - Protocol and Bandwidth Usage - Application Monitoring (Software Bandwidth Usage) - Social Network Monitoring (Facebook, Line, Youtube, Pantip) - User Monitoring

5. Deep Search - Network Forensic Evident Data - Conditional Search

6. Log Archive - Raw Full Data - Support AD (Active Directory) - Export Data - Integrity Hashing

7. Log Auditor - Active Directory Login Success/Login Fail, SSH Login Success/Login Fail

8. Protection - Web Filtering (Advertisements Block, Anti-Phishing, Antivirus/Malware)

9. Report - Executive Summary - Compliance Thai Cyber Law Log Correlation Report - HTTP/SSL Analyzer

Hardware Specification

CPU*** Dual-Core Octa-core Sixteen-Core

Memory*** 8G 16G 64G

Network*** 4 Port (10/100/1000) 5 Port (10/100/1000) 4 Port (10/100/1000)

Storage Capacity*** 250GB 1TB 2 x 4TB

Log Capacity*** ~150GB ~800GB ~3.5TB

Raid Support - - Raid 1/5/10

Default Raid*** - - 1

HDD (Hot Swap) - - YES

Hot Swap Power Supply - - YES

Total weighted Users*** 50 100 200

บรษท โกลบอลเทคโนโลย อนทเกรเทด จ ำกด 48/6 ซอยแจงวฒนะ 14 ทงสองหอง หลกส กรงเทพฯ 10210 โทรศพท : +66 2 982 5454 โทรสำร: +66 2 982 4004 อเมล: info@gbtech.co.th