An

et Y

azıl

ım

20

12

Fa

un

a

FAUNA NEDİR ........................................................................................................................ 3

NEDEN FAUNA ? ..................................................................................................................... 3

BANA YARARI NE OLACAK? ..................................................................................................... 4

TEMEL ÖZELLİKLERİ ............................................................................................................... 5

DESTEKLEDİĞİ SİSTEMLER ..................................................................................................... 6

FAUNA KORELASYON MOTORU ................................................................................................ 8

RAPOR ÖRNEKLERİ ............................................................... Hata! Yer işareti tanımlanmamış.

FAUNA NEDİR

Fauna; SIEM (Security Information and Event Management), Log Yönetimi ve 5651 sayılı yasaya uygun log tutumayı bir arada

sağlayan entegre bir güvenlik çözümüdür.

Fauna ile firewal,router,switch,işletim sistemleri,uygulamalar,veritabanları,sanal sunucular,proxy,mail sunucu,antivirüsler vs.. den

loglar toplanıp aralarında ilişkilendirme yapılarak gerekli durumlarda uyarı mesajları oluşturulabileceği gibi çok detaylı

raporlamalar da yapılabilir.

NEDEN FAUNA ?

Ajan (Agent) Olmadan Log toplayabilme: herhangi bir makineye ajan kurmadan bahsedilen tüm raporları oluşturabilir ve kuralları

çalıştırabilir.

Marka ve Model Bağımsız Log Toplama Özelliği: Marka ve model bağımsız tüm(Log üreten) uygulamalardan log toplayabilir.

Çok Gelişmiş Korelasyon Motoru.

Network Erişim Takibi Yapabilme Özelliği.

IP Tabanlı Loglardan Kullanıcı Adı ve Bilgisayar Adı Çözebilmesi

AD/Domain Entegre olması

Temel Korelasyonların otomatik yapılması: Kullanıcı ve Bilgisayar adı bilgisi olmayan logların kullanıcı ve bilgisayar adı ile

tamamlanması

JAVA temelli olması

SQL Desteği

100 lerce hazır kural ile birlikte kuruluyor olması

Sabit IP Kullanım Takibi yapabilmesi

5651 Sayılı Kanunu Desteklemesi

Sadece raporlama değil analiz aracı olarak kullanılabilmesi:Mesela mail sunucu loglarından ulaşanlar, ulaşmayanlar ve ulaşmama

sebeplerinin analizi.

Hazır Rapor Şablonları.

Desteklediği Cihazların Çeşitliliği.

Kullanıcı ve bilgisayar adını çözerek, raporları IP bazlıdan, kullanıcı ve bilgisayar bazlıya yükseltebilmesi

MAC Adresi, IP veya Kullanıcı Adı girilerek Tüm raporları yada seçtiğiniz raporları tek bir ekrandan görünteleyebilirsiniz. Bu özellik

forensic analiz ve eğer systeme sızma olmuş ise sızan hangi sistemlerde neler yapmış toplu olarak görebilmeyi sağlayan önemli bir

güvenlik analizi seçeneğidir. Örnek: MAC adresi ile mail, sunucu, internet hareketlerinin hepsinin tek bir ekranda takibini

yapabilirsiniz.

Sisteme yeni bir cihaz eklendiğinde haber verebilmesi

IP değişikliklerini takip edip, IP değiştiğinde haber verebilmesi

Windows işletim sistemlerinde, Türkçe işletim sistemlerinden de Audit loglarını toplayıp analiz edebilmesi (Yabancı yazılımlar da

toplayabilir ama analiz edemezler.)

Tek tuşla, sorgu yazmaya gerek duymadan yüzlerce hazır rapor

Hazır veri tabanı ile birlikte kurulması,

Yazılım kurulum dosyası ile kolay ve güvenilir bir kurulum yapılması,

Hazır Kollektörler seçeneklerinin olması,

IP/port yönlendirme ile kolay ve hızlı log yönlendirme ve toplama,

Tek ara yüzden bütünleşik raporlara erişimin sağlanması,

ARP tablosu ile DHCP loglarının korelasyonu ve sunulan rapor

Bağımsız Ara Yüz ve Motor (Engine) Özelliği: Ara yüz PHP dilinde ve motor (engine) Java dilinde yazılmıştır. Ara yüzde herhangi

bir aksama olması durumunda motor işini yapmaya devam edecektir.

Platform Desteği: Java tabanlı bir yazılım olduğu için tüm platformlarda çalışma özelliğine sahiptir.

x32-x64 Desteği: 32Bit ve 64 Bit işletim sistemlerinde çalışmaktadır

Dağıtık Mimari: Aynı anda birden fazla noktaya Fauna kurulup bu logların analizini hem o noktalarda hem de merkeze kurulan Fauna

ile yapmayı mümkün kılar.

Çoklu Kullanıcı Desteği: Fauna üzerinde birden fazla kullanıcı tanımlanabilir. Ve bu kullanıcılar tanımlanırken yetki derecelendirmesi

yapılabilir.

Çoklu Domain Desteği: Fauna sistemde bulunan domainler den event logları toplayabilir. Birden fazla domain den aynı anda log

alabilir. Ayrıca domainde olmayan makinelerden de ajan(Agent) kullanmadan logları alabilir.

ARP Tablosu Takip Özelliği: Ortamdaki switch, modem, router, firewall gibi cihazlara bağlanarak üzerindeki MAC-IP eşleştirme

bilgisini alabilir.

Akıllı Alarm ve Uyarı Desteği: Fauna Hazır alarm kuralları ve tanımlanabilir alarm sistemine sahiptir. Kullanıcı sistemde bulunan

alarmları aktif ederek ya da özel alarm tanımlaması yaparak kritik durumlardan haberdar olabilir.

Türkçe arayüz desteği

Log analizinde Türkçe desteği.Özellikle işletim sistemlerinde Türkçe desteği olmadan loglar anlamlı hale gelemez.

Herhangi bir GPL koddan devşirme olmayan ve tamamen ANET yazılımın 10 yılı aşkın tecrübesiyle üretilen bir üründür.

BANA YARARI NE OLACAK?

Log Yönetimi hiç olmadığı kadar önem kazanmıştı. FISMA, HIBAA, SOX, COBIT, ISO 27001 gibi uluslararası

standartlar log yönetimini zorunlu kılmaktadır. Kanunlar ve standartlar tüm yaptırımlardan her zaman daha etkin bir

role sahipdir. Ayrıca, 04.05.2007 tarihli 5651 sayılı kanunda internet suçlarını önlemeye yönelik olarak kurumların log

yönetimi ile ilgili yükümlülükleri belirlemiştir.

Bu iz kayıtları (loglar) ile işlemi gerçekleştiren kişi belirlenebilir ,

Yetkisiz erişimler belirlenebilir ,

Anormal işlemler belirlenebilir ,

İz kayıtları kullanılarak performansa (sistemlerdeki olası sorunlar iz kayıtları ile önceden belirlenebilir) dair

izleme yapılabilir,

Sistem yöneticisi geçtiğimiz ay hangi kullanıcıların bilgisayarına erişti?

A kullanıcısı geçtiğimiz ay hangi bilgisayarlara USB disk takıldı?

B kullanıcısının bilgisayarındaki Gizli_Doküman.docx dosyasına kim erişti?

C kullanıcısının bilgisayarındaki 2012_Projeler.xlsx dosyasını kim sildi?

Yazıcıdan çıktı alınan dokümanlar içinde “XXXXXX” geçen belgeleri kimler yazdırdı?

Zararlı uygulamaları tespit edebilirsiniz

Güvenlik analizlerini GB larca log içerisinden kolayca ve otomatik olarak yapmanızı sağlar,

Farklı farklı log kaynakları ve dolayısı ile sistemler arasındaki komplex ilişkileri yönetmenizi sağlar,

Daha esnek bir güvenlik yönetimi sağlar,

Daha güvenli çalışma ortamı sağlar,

Herşeyi raporlayabilirsinz.

TEMEL ÖZELLİKLERİ

Fauna ortamda oluşan bütün olayları logları toplamak suretiyle takip edebildiği için çok esnek ve otomatik politikar

uygulayabilen güvenlik yönetim sistemi kurulmasını sağlar. Sistem 100 lerce hazır kural ile bir güvenlik yönetim

sisteminin sahip olması gereken bütün özelliklerini otomatik olarak sisteminize taşır

Örnek kurallar:

Database de Acount değişikliği durumunda Kullanıcıyı uyarabilme,

Active Directory başarılı bir şekilde çalıştığında Kullanıcıyı bilgilendirme özelliği,

Active Directory servisi durduğunda Kullanıcıyı uyarabilme özelliği,

ISA Servisi Başlatılırken Hata oluşursa kullanıcıyı uyarabilme özelliği,

Makinelere Program kurulduğunda Yöneticileri uyarabilir,

Makinelerden Uygulamalar Uninstall edildiğinde Yöneticileri uyarabilme özelliği,

Makinelerden Audit logları temizlendiğinde Yöneticileri haberdar edebilme özelliği,

Audit Policy de değişiklik yapıldığında Yöneticilere bildirme,

Bad Disc Sector oluştuğunda yöneticileri bilgilendirme özelliği,

Bilgisayar hesaplarında değişiklik yapılması durumunda yöneticileri bilgilendirme özelliği,

Bilgisayarlar da yeni bir kullanıcı oluşturulduğunda yöneticileri bilgilendirme özelliği,

Bilgisayar hesaplarından herhangi biri silindiğinde yöneticileri bilgilendirme özelliği,

DNS serverin başarılı bir şekilde başlaması durumunda yöneticileri bilgilendirme özelliği,

DNS serverin başlatılamaması durumunda yöneticileri uyarma özelliği,

DNS Server TimeOut’a düştüğünde Yöneticileri uyarabilir.

DNS Server Update aldığında yöneticileri haberdar edebilir.

Domain Policy değişikliği olduğunda yöneticileri haberdar edebilir.

Eventlog servisi durduğunda yöneticileri uyarır,

Sistemlere LogOn olma işlemi denendiğinde(başarılı ve Başarısız LogOn durumlarında) yöneticileri uyarabilir,

Insufficient Memory durumu tespit edildiğinde yöneticileri uyarabilir.

Yeni uygulamalar çalıştırıldığında yöneticileri haberdar edebilir,

NTDS Databse Engine(Active Directory database file) başladığında yöneticileri bilgilendirebilir,

NTDS Database Engine(Active Directory database file) durduğunda yöneticileri uyarabilir,

Nesne silerken hata olursa yöneticileri uyarabilir,

İşletim sistemi başlatıldığında ya da kapatıldığında yöneticileri uyarabilir.

Yeni bir Printer eklendiğinde ve oluşturulduğunda yöneticileri uyarabilir,

Sistem dosyalarında değişiklik olduğunda yöneticileri uyarabilir,

File Replication Service başladığında yöneticileri haberdar edebilir,

FTP LogOn durumu ya da LogOf durumunda Yöneticileri uyarabilir,

Hesap şifre sıfırlama işlemlerinde yöneticileri uyarabilir,

Kullanıcı hesapları dondurulduğunda yöneticileri uyarabilir,

Sisteme yeni makine eklendiğinde yöneticileri uyarabilir,

MAC-IP Değişikliğini algılama sistemi. Sisteminizde bulunan kritik cihazların MAC ve IP değiştirmeleri durumunda yöneticileri

uyarabilir.

Sisteme yeni bir cihaz dahil olması durumunun takibi.Ağınızda daha önce olmayan bir cihaz dahil olduğunda yöneticileri uyarabilir.

Bununla birlikte sistem raporlama yeteneği sayesinde güvenlik yöneticileri kendileri işlerini kolaylaştıracak ve gözle takip edip

bulamayacakları pek çok soruya cevap bulurlar.

Şirket Bilgileriniz Dışarıya sızdırılıyor mu? Kimler bu işlemleri yapıyor ya da teşebbüste bulunuyor?

Mesai saatleri dışında kimler kritik sunuculara LogOn oldu? Kim LogOn Olmaya Çalıştı ve Başarısız oldu?

Kimler ihale,muhasebe,Sözleşme,.. vs gibi kritik dokümanlara ulaştı?

Sisteme erişen kullanıcı olay kayıtlarını sildi.(Kim ne zaman Sildi?)

Saldırgan hangi sistemlere erişim yaptı?

Saldırgan nereden sisteme erişti?

Sadece belirli bir kullanıcı grubu tarafında bilinen bir bölgeye erişilmeye çalışıldı. Kim erişmeye çalıştı?

Kimler hatalı trafik oluşturarak networku kilitliyor?

En çok indirme (download) yapan Kullanıcılar, Makineler Kimler?

Şirket hesabına gelen maillerin kopyasını şahsi hesabına gönderenler var mı? Varsa kim?

Network üzerinde kaç tane başarısız oturum açma girişimi meydana geldi? Kimler bu işlemleri gerçekleştirdi?

Network üzerinde hangi hesaplar silindi ya da pasif oldu? Bu işlemleri kim ne zaman gerçekleştirdi?

Network üzerinde hangi hesaplar oluşturuldu? Kim bu hesapları oluşturdu? Ne zaman bu işlem gerçekleşti?

Network üzerinde işlemler kaç adet kritik olay oluşturdu? Bu kritik olaylara kimler neden oldu?

Network üzerinde kaç adet hata olayı meydana geldi? Bu hata olaylarına neden olanlar kim?

Taşınabilir bellek kullananlar kimler?

Kim hangi uygulamayı çalıştırdı?

Kim hangi uygulamayı kapattı?

Kim belirli dokümanı sildi?

Kim SQL portundan sisteme erişim yaptı?

DESTEKLEDİĞİ SİSTEMLER

Fauna marka ve model bağımsız tüm uygulamalardan log toplayabilme özelliğine sahiptir. Dışarıya log aktaracak

(SYSLOG,SNMP TRAP ve text formatı) şekilde tanımlanmış tüm

Firewall,UTM,Proxy,Mail Server,DHCP,İşletim sistemi,..vs gibi tüm cihaz ve

uygulamalardan log toplayabilir.

Hazır Kolektörler:

3Com,

Airlive,

Anchiva,

Apache,

Applied,

ARKOON,

Astaro,

Aventail,

AWStats,

BlueCoat,

Barracuda

Brocade Wireless,

Checkpoint,

Cimcor,

Cisco Security,

Cisco Systems,

Clavister,

CyberGuard,

Dansguardian,

Drytek,

Drytek DNS,

D-Link,

DP Firewalls,

Electronic Consultants,

Fortinet,

FreeBSD,

Free Radius,

Global Technologies,

HP Procurve Wireless,

IIS SMTP,

IPCop,

Ingate,

Inktomi,

Juniper,

Kerio,

Lenovo,

Lotus Notes,

Lucent,

McAfee,

McAfeeProxy,

McAffeMailGw,

Microsoft DHCP,

Microsoft Exchange,

Microsoft ISA Proxy,

Microsoft ISA Firewall,

Motorola Wireless,

MS DNS,

MS FTPD,

MS IIS,

MS SQL,

NetApp,

NetASQ,

NetFilter,

Netopia,

Netscreen,

Oracle,

Pfsense,

Postfix,

Recourse Technologies,

Ruijie,

Snort,

sonicwall,

SQUID,

St. Bernard Software,

Sun Microsystems,

Symbol Wireless,

Unix systems,

Watchguard,

Windows,

ZyAir,

Zywall,

Zywall CEF,

Zywall Modem

Apache

Oracle

Gateprotect

Zywall_modem

Windows

McAfee_proxy

Barracuda

McAffeMailGateway

Unix

Vmware

Pfsense_DHCP

Linux_DHCP

Airlive

Free_Radius

Brocade_Wireless

HP_Procurve_Wireless

Motorola_Wireless

Symbol_Wireless

Drytek_DNS

ZyAir

Fortimail

PaloAlto

Trendmicro

Linux_DNS

FAUNA KORELASYON MOTORU

Güvenlik Yönetim Sistemlerinin en önemli özelliği korelasyon yeteneğidir. Korelasyon farklı log kaynaklarından gelen logların

çeşitli kurallar yazılarak ilişkilendirilip daha anlamlı sonuçlar çıkarılmasını sağlamak ve otomatik alarmlar üretilmesini sağlamaya

verilen isimdir.

FAUNA Korelasyon modülü özellikleri:

Script ve java dillerini desteklemektedir.

JSR94.

Gelişmiş Korelasyon Yapısı.

Hafızada Korelasyon Yapabilme.

Tek Kaynak Korelasyon Kuralları.

Çoklu Kaynak Korelasyon Kuralları.

Negatif Condition Kuralları.

Context Base Korelasyon.

Hiyerarşik Korelasyon.

Çok esnek kural oluşturma yapısı.

Rule Base.

Complex Event Processing(CEP).

Forward Chaning.

Backward Chaining.

Fauna aynı zamanda veri tabanınızdaki yükü azaltmak ve kritik olay verilerinin alımını hızlandırmak için bellek içi

korelasyon kullanır.

Kural oluşturma ve kural yazma yöntemleri uluslararası formatlarda olup yazım kuralları ve kural geliştirme

yöntemleri uluslararası standartlardır. Dolayısı ile hem destek hem de öğrenilen bilginin global olması noktasında da

avantaj sunar.

Tamamen uluslararası standartlarda bir kural veritabanı

Kullanım Amaçlarına Örnekler:

Windows makinelere brute force login ataklarının tespit etmek

Atak Tespiti

Performans Problemi Tespiti:

Ağdaki kötü niyetli yazılımlarının tespiti.

Veri tabanına varsayılan kullanıcı isimleri ile giriş denemelerin tespiti.

445 nolu port ataklarını tespit etmek

İletişim Bilgileri

Doğu Mah. Bilge sok. No=2

Kat= 5 Daire= 4

Pendik/İstanbul

Tel : 0216 3540580

0216 3540581

Fax : 0216 3540580

info@anetyazilim.com

info@anetyazilim.com.tr

www.anetyazilim.com

www.anetyazilim.com.tr