Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
"ประสบการณกวา 15 ปทกลนกรองมาเปนผลตภณฑการจดเกบบนทกขอมลจราจรคอมพวเตอรทคมคาทสดส าหรบผใชงาน"
SRAN NetApprove เกดจากการพฒนาวจยอยางตอเนอง ยาวนานกวา 2 ป โดยน าสงทคดวาเปนประโยชนสงสดส าหรบผใชงาน
บนนยามวา "Advance Centralized Log Management" เพราะเราเชอวาการมองเหนเปนสงส าคญ ซงท าใหเราประเมน
สถานการณตางๆ ได
ภาพรวมสถานการณขอมลทเกดขนบนเครอขายองคกร
บนหนาจอของ SRAN NetApprove เพยงหนาเดยวกท าใหทราบถงเหตการณและสถานการณปจจบนทเกดขน ทกหนาการ
แสดงผล ใน SRAN NetApprove สามารถพมพเปนรายงานเพอน าเสนอผบรหารได (Print to PDF Report) รองรบคาการ
แสดงผลผาน Web GUI และการออกแบบ Responsive Web Design ทสามารถใชงานไดทงบนเครองคอมพวเตอร และมอถอ
SRAN NetApprove คอ Full Functional Network Security and Logging Report โดยมคณสมบต
1. การส ารวจขอมลแบบอตโนมตเพอระบตวตนอปกรณบนระบบเครอขายคอมพวเตอร (Automatic Identification
Device) การคนหาอปกรณบนระบบเครอขายอยางอตโนมต เพอระบตวตนผใชงาน โดยไมตองปรบคาอนใดในอปกรณกสามารถท า
การคนหาอปกรณทอยบนระบบเครอขายคอมพวเตอรได
1.1 รายงานการคดแยกเครองทรจก (Known Device) และไมรจก (Unknown Device) ได โดยการยนยน (Approve) เปนทมาของ
ชอ "SRAN NetApprove" เมอท าการยนยนคาแลวหากมอปกรณแปลกปลอมเขาสระบบเครอขายกสามารถตรวจพบได (Rouge
Detection)
1.2 รายงาน BYOD (Bring Your Own Device) แสดงคาอปกรณพกพาทเขาสระบบเครอขายคอมพวเตอรขององคกรได ซงแยก
Desktop (คอมพวเตอรพกพา เชน โนตบก) และมอถอ (Mobile) โดยรวาใครน าเครองพกพามาใชงานภายในระบบเครอขายของ
องคกร
1.3 รายงานการเกบบนทกเปนคาอปกรณ (Device Inventory) โดยแยกการเกบคาจากอปกรณ (Device) ชอผใชงานจากระบบ
Active Directory, จาก Radius คาจากการ Authentication, คา IP Address ผใชงาน, คา MAC Address, แผนก (Department),
ยหอรนอปกรณเปนตน
1.4 รายงานการเกบบนทกคาซอฟตแวร (Software Inventory) จะท าการคนพบประเภทซอฟตแวรทใช ไดแก ซอฟตแวรประเภทเวบ
บราวเซอร, ซอฟตแวรประเภทมลตมเดย, ซอฟตแวรประเภทใชงานในออฟฟศ และซอฟตแวรทไมเหมาะสม เชนโปรแกรม Bittorrent
กสามารถตรวจและคนพบได
1.5 การวาดรปความเชอมโยงระบบเครอขาย (Topology) สรางภาพเสมอนบนระบบเครอขายเปน Network Topology แบบ Link
Chart ในการตดตอสอสาร (Interconnection)
ภาพการแสดงผลการเชอมตอขอมลบนระบบเครอขาย
2. การวเคราะหและเทคโนโลยในการตรวจจบความผดปกตขอมล (Detect and Analyzer) ประกอบดวย
2.1 Attack Detection รายงานการตรวจจบพฤตกรรมการโจมตระบบ ไดแก การ Brute Force รหสผานทเกดขนบนตวอปกรณ และเครอง
แมขายทส าคญ เชน Active Directory, Web Server, Mail Server เปนตน อกทงยงสามารถตรวจพบการโจมตโดยการยง Exploit เขาส
เครองแมขายทส าคญ เปนตน
2.2 Malware/Virus Detection รายงานการตรวจจบมลแวร /ไวรสคอมพวเตอรทเกดขนบนระบบเครอขาย สามารถท าการ
ตรวจจบไดโดยไมตองอาศยการลงซอฟตแวรทเครองลกขาย (Client) แตท าการตรวจผานการรบสงคาทเกดขนบนระบบ
เครอขายคอมพวเตอร
2.3 Bittorrent Detection รายงานการตรวจจบการใชงานโปรแกรมดาวนโหลดไฟลขนาดใหญทสงผลกระทบตอการใชงาน
ภาพรวมภายในองคกร
2.4 Tor/Proxy Detection รายงานการตรวจจบซอฟตแวรประเภทอ าพรางการสอสารเพอใชหลบเลยงการตรวจจบขอมลภายใน
ระบบเครอขายคอมพวเตอร
2.5 HTTP / SSL Analyzer รายงานการตรวจวเคราะหการใชงานเวบไซตพรอมจดท าสถตการใชงานอนเทอรเนตภายในองคกร
รายงานผลการใชงานอนเทอรเนตภายในองคกร
3. การวเคราะหขอมลจาก Log (Log Analytic)
3.1 Threat Analyze รายงานการวเคราะหขอมลจากการรวบรวมเหตการณภยคกคามทเกดขนภายในระบบเครอขายคอมพวเตอรของ
องคกร
3.2 Risk Analyzer (High, Medium, Low) รายงานการวเคราะหระดบเหตการณความเสยงระดบสง ความเสยงระดบกลาง และความ
เสยงระดบต าเพอแสดงคาและการจดท ารายงาน
รายงานความเสยงทเกดขนภายในองคกรทสามารถออกรายงานได รายชวโมง รายวน และรายเดอน
4. การเฝาตดตามปรมาณการใชงานขอมลภายในองคกร (Bandwidth Monitoring)
4.1 Protocol and Service Monitoring จะสามารถค านวณคาปรมาณ Bandwidth ทเกดขนบนระบบเครอขายได โดยแยก Protocol
TCP, UDP, ICMP และ Service ตาม Well Know Port Service ท าใหทราบถงปรมาณการใชงานขอมลไดอยางละเอยด และประเมน
สถานการณไดอยางแมนย า
4.2 Application Monitoring รายงานการใชแอปพลเคชน และปรมาณการใชขอมลภายในองคกรกวา 1,000 ชนด ไดแก SAP, ERP,
Oracle, Skype, Microsoft และ Enterprise ทมผลกระทบตอองคกร
4.3 Social Network Monitoring รายงานการใชงานเครอขายสงคมออนไลนเพอใหรถงปรมาณขอมลทใชภายในองคกร ไดแก
Facebook, Line, YouTube, Google Video, Twitter และ Pantip ท าใหผบรหารองคกรสามารถทราบความเคลอนไหว และการใช
ปรมาณขอมลภายในองคกร
ภาพ Facebook Monitoring ท าใหทราบถงการใชปรมาณการใชงานขอมลเครอขายสงคมออนไลน
4.4 User Monitoring รายงานและจดอนดบการใชงาน Bandwidth ภายในองคกร โดยจะเหนรายชอผใชจากคณสมบตขอ 1 ท าใหเรา
ทราบถงชอผใชงาน และคา Bandwidth ทสงสด และท ารายงานได
รายงานปรมาณการใชงาน Bandwidth ภายในองคกร
5.การคนหาขอมลในเชงลก(DeepSearch)
5.1 การพสจนหลกฐานทางขอมลสารสนเทศ (Network Forensic Evidence Data) คนหาเหตการณทเกดขน โดยแบงตามเนอหา
(Content Search) ดงน Web Access, Files Access, Network Connection, SSL, Mail, Data Base, Syslog, VoIP, Remote
Desktop, Radius และ Active Directory ซงสามารถคนหา Raw Log ทเกดขน ทงแบบปจจบน และยอนหลงได
5.2 การคนหารวดเรว และสามารถใชเงอนไขในการคนหา เชน AND, OR, NOT เขามาเกยวของ เพอใหการคนเปนไปอยางม
ประสทธภาพ
6. การเกบบนทกขอมลจราจรคอมพวเตอรและดยอนหลง (Log Record and Archive)
6.1 การเกบบนทกขอมลแบบ Raw Full Data เพอเปนประโยชนในการสบสวนสอบสวนและการหาผกระท าความผด ดวยการเกบบนทกท
สามารถท าไดแบบ Hybrid ซง SRAN NetApprove เปนตนฉบบของการท าวธน คอ การรบขอมลจราจรคอมพวเตอรแบบ Passive mode
และรบคาจากอปกรณอนได (Syslog)
6.2 รองรบคา Log จาก Active Directory, Router/Firewall/VPN, Mail Server (Exchange, Lotus Notes), DHCP, DNS, SNMP,
Radius Wi-Fi Controller และท าการแยกแยะคาการเกบ Log โดยแบงเปนหมวดใหโดยอตโนมต รองรบการเกบบนทกขอมลจราจร
คอมพวเตอรทเกยวของกบ Protocol ทใชกบอปกรณสอสารในโรงงานอตสาหกรรม ประเภท Modern SCADA System รองรบ Protocol
DNP3, Modbus (Modicon Communication Bus) เปนตน
6.3 มความสามารถในการ Export Data เพอใชในการพสจนหาหลกฐานได
6.4 การเกบบนทกขอมลมการยนยนความถกตองขอมล Integrity Hashing
ภาพการเกบบนทกขอมลจาก Syslog มการท า File Integrity เพอยนยนความถกตองของขอมล
(ผทเขาถงไฟลไดตองเปนระดบ Data Keeper ทองคกรไดมอบหมายรบผดชอบในสวนน)
7. การเกบบนทกคาส าหรบให IT Audit ในการตรวจสอบขอมลและใชเปนหลกฐาน (Log Audit)
7.1 การเกบบนทกคา Active Directory Login Success / Login Fail
7.2 การเกบบนทกคา SSH Login Success / Login Fail
รายงานการ Login ผดพลาดทเกดขน
7.3 Files Audit มความสามารถในการตรวจสอบการแกไขไฟลผาน Protocol การแชรไฟล ซงสามารถท าใหรถงการแกไขไฟล (Modify)
หรอแกไขชอ (Rename) การเปดไฟล (Open Files) และการลบไฟล (Delete Files) โดยไมตองลงซอฟตแวรอนเสรม
7.4 Login Audit มความสามารถในการตรวจสอบการ Login เขาสระบบวามการ Login ผด Login ถก และออกรายงานผลการ Login ของ
ผใชงานได
8. การวเคราะหไฟลตดเชอจากการตดตอสอสารบนระบบเครอขายคอมพวเตอร (Malware Analytic) 8.1 สามารถวเคราะหเพอหามลแวร (Malware Analytic File with Virustotal) โดยใชการตรวจสอบไฟลผานโปรแกรมแอนตไวรสกวา 50 ชนดผาน API Virustotal
9. การออกรายงาน (Report) 9.1 Executive Summary รายงานสรปสถานการณทงหมดส าหรบผบรหาร 9.2 Thai Cyber Law Act รายงานความเสยงทมโอกาสเขาขายตามความผดเกยวกบการใชงานคอมพวเตอรภายในองคกร โดยแยกแยะตามมาตรา 5, 6, 7, 8, 9, 10 และ 11
ภาพแสดงการออกแบบเปนระบบ Hybrid ทสามารถรบคา Log จาก Syslog ได
คณสมบตเพมเตมของ SRAN NetApprove
1. เปนอปกรณ Appliance ทไดรบการปรบปรง Firmware เพอปดชองโหว (Hardened) เปนทเรยบรอยแลว หรออปกรณคอมพวเตอรทไดมาตรฐาน สามารถเกบรวบรวมเหตการณ (Logs or Events) ทเกดขนในอปกรณทเปน Appliances และ Non-Appliances เชน Firewall, Network Devices ตาง ๆ ระบบปฏบตการ ระบบ Appliances ระบบเครอขาย และระบบฐานขอมล เปนตน ไดอยางนอย 3, 10, 15 อปกรณตอระบบ โดยสามารถแสดงผลอยภายใตรปแบบ (Format) เดยวกนได
2. มระบบการเขารหสขอมลเพอใชยนยนความถกตองของขอมลทจดเกบตามมาตรฐาน SHA-256 3. สามารถเกบ Log File ในรปแบบ Syslog ของอปกรณ เชน Router, Switch, Firewall, VPN, Server ได 4. สามารถบรหารจดการอปกรณผานมาตรฐาน HTTPS, Command Line Interface และ SSH ได 5. สามารถจดเกบ Log File ไดถกตอง ตรงตามพระราชบญญตวาดวยการกระท าผดเกยวกบคอมพวเตอร ฉบบทมผลบงคบใช โดย
ไดรบรองมาตรฐานการจดเกบและรกษาความปลอดภยของ Log File ทไดมาตรฐานของศนยอเลกทรอนกสและคอมพวเตอรแหงชาต (มศอ. 4003.1-2560)
6. สามารถท าการส ารองขอมล (Data Backup) ไปยงอปกรณจดเกบขอมลภายนอก เชน Tape หรอ DVD หรอ External Storage เปนตนได
***สามารถรองรบการปรบแตงอปกรณได
Model NG50 NG100 NG200
Capacity and Performance
Normal Log Rate (Event/Second) 1,000 7,000 20,000
Feature
1. Automatic Identification Device - Know Device/Unknown Device - Approve device/Rogue Detection - BYOD: Desktop/Mobile - Inventory: Device
2. Detection - Attack Detection (Brute Force, Exploit) - Malware/Virus Detection - Detect Software - Bittorrent Detection - Tor/Proxy Detection
3. Log Analysis: Security Information Event Management - Threat Analysis - Risk Analyzer (High, Medium, Low)
4. Bandwidth Monitoring - Protocol and Bandwidth Usage - Application Monitoring (Software Bandwidth Usage) - Social Network Monitoring (Facebook, Line, Youtube, Pantip) - User Monitoring
5. Deep Search - Network Forensic Evident Data - Conditional Search
6. Log Archive - Raw Full Data - Support AD (Active Directory) - Export Data - Integrity Hashing
7. Log Auditor - Active Directory Login Success/Login Fail, SSH Login Success/Login Fail
8. Protection - Web Filtering (Advertisements Block, Anti-Phishing, Antivirus/Malware)
9. Report - Executive Summary - Compliance Thai Cyber Law Log Correlation Report - HTTP/SSL Analyzer
Hardware Specification
CPU*** Dual-Core Octa-core Sixteen-Core
Memory*** 8G 16G 64G
Network*** 4 Port (10/100/1000) 5 Port (10/100/1000) 4 Port (10/100/1000)
Storage Capacity*** 250GB 1TB 2 x 4TB
Log Capacity*** ~150GB ~800GB ~3.5TB
Raid Support - - Raid 1/5/10
Default Raid*** - - 1
HDD (Hot Swap) - - YES
Hot Swap Power Supply - - YES
Total weighted Users*** 50 100 200
บรษท โกลบอลเทคโนโลย อนทเกรเทด จ ำกด 48/6 ซอยแจงวฒนะ 14 ทงสองหอง หลกส กรงเทพฯ 10210 โทรศพท : +66 2 982 5454 โทรสำร: +66 2 982 4004 อเมล: [email protected]