Upload
mustafa-kugu
View
146
Download
13
Embed Size (px)
Citation preview
CryptTech Co.Information Security Intelligence
Teknik Ürün SunumuCRYPTOLOG
CRYPTOSIM
A
2
Ajanda
CryptTech, tarihçe ve kilometre
taşları, iletişim bilgileri
Log, log yönetimi ve SIEM
CryptoLOG, log yönetim ürünü Log kaynakları, log toplama yöntemleri
Plug-in’ler, ayrıştırıcılar (parser)
Veri doğrulama
CryptoLOG’un yönetimi - Göstergeler
- Forensik analiz
- İstatistiksel raporlar
- Uyumluluk ve resmi düzenlemeler
- Depolama
Kurulum senaryoları- Ölçeklendirilebilirlik
- Esneklik
- Erişilebilirlik
A
CryptoSIM, SIEM çözümü
uygulamasıCryptoSIM özellikleri
Korelasyon (ilişkilendirme)- Korelasyon motorları
- Korelasyon kuralları
Risk değerleme
Olay yönetimi
A
3
Şirket ProfiliCryptTech
Türkiye’nin önde gelen bilgi güvenliği çözümleri üreten Ar-Ge firması
Türkiye’de +500 kurumsal müşteri ve KOBİ
Hizmetlerimiz
Log yönetimi
Bilgi güvenliği ve Olay yönetimi
Hotspot çözümleri
Açık ve penetrasyon testleri
Ürünlerimiz
CRYPTOLOG – Log yöneticisi
CRYPTOSIM – Bilgi güvenliği ve Olay yönetimi çözümü
CRYPTOSPOT – HOTSPOT çözümü
A
A
4
CryptTechDönüm noktaları
CryptTech
kuruldu
CRYPTOLOG
log yönetim çözümü
CRYPTOSPOT
Hotspot çözümü
CRYPTOSIM
SIEM çözümü
Türkiye çapında
+500 müşteri
A
A
5
İletişim
www.crypttech.com
+90 212 217 7017
http://support.crypttech.com
www.facebook.com/crypttech
www.twitter.com/crypttech
A
6
ALog, Log Yönetimi ve SIEM
Log nedir? Neden Log
yönetimi?
SIEM
nedir?Sunucular, ağ cihazları,
işletim sistemleri ve
uygulamaların tüm işlem
kayıtları.
Log yönetimi ile loglar
yorumlanabilir, ve işlenebilir,
raporlanabilir hale getirilir.
Bilgi Güvenliği ve Olay
Yönetimi (SIEM). Logların
ilişkilendirilmesi ile risk ve
gerçek zamanlı olay yönetimi.
A
ALog, Log Yönetimi ve SIEM
7
Log toplama
Logların toplanması,
taşınması, ayrıştırılması,
kategorize edilerek
depolanması.
Analiz
Log üzerinde arama,
uyumluluk ve istatistik
raporları, logların
sıkıştırılması ve
depolanması.
Korelasyon
Olay ilişkilendirme, risk
değerleme, alarm ve olay
yönetimi.
Log Toplama
LOGs
CRYPTOLOG
CRYPTOSIM
Korelasyon
Analiz
A
8
-Log toplama,
-Log filtreleme
-Log Ayrıştırma, kategorilendirme
-Analiz (forensik, uyumluluk raporları)
-Depolama
-Korelasyon kuralları motoru
-Alarm üretme
-Otomatik script çalıştırma
-Gerçek zamanlı eylem alma
VERİ
BİLGİ
ZEKA
EYLEM
A
A
Log, Log Yönetimi ve SIEM
CRYPTOLOGYazılım tabanlı log yönetim ürünü
10
CRYPTOLOG
Log Toplama ve
Log iletimi
Analiz, Log
imzalama, Log
arama, ve raporlama
Log ayrıştırma ve
sınıflandırma
Log sıkıştırma ve
depolama
ACRYPTOLOG- Log Yönetim Çözümü
Tüm kaynak çeşitleri ve log formatları
ile uyumlu
Kullanıcı dostu yönetim arayüzü
Gelişmiş arama seçenekleri ile
zenginleştirilmiş güçlü forensik analizi
Kurum yapısına ve gereksinizmlerine
göre ölçeklendirilebilirlik
Yüksek performans
Değişen yasal düzenlemelere en hızlı
uyum desteği
Esnek depolama ve arşivleme
seçenekleri
Olay yönetimi için CryptoSIM ile tam
uyumluluk
A
11
ALog KaynaklarıLog toplama yöntemleri
Güvenlik
çözümleri
Uygulamalar
Sunucular
Web
Sunucular
Dosya
Sunucular
Veritabanları
Ağ cihazlarıA
SyslogSSH/Paylaşım
Odbc
Jdbc
SNMP
OPSEC
FTP
Dinleme
Flow
CRYPTOLOG
CryptTech
Windows
Ajanı
12
ACRYPTOLOG Pluginler
A
Parser
< / >SQL
query
- Odbc/Jdbc
entegrasyonu
için
,…,Ayraç
(Delimiter)
- Pek çok kaynakta
kullanılır
RegEx
- En sık kullanılan
ayrıştırma
yöntemi
[^…]
C#C# / Visual Basic
- Metin kütüphaneleri
Tüm dosyalar anlık olarak
dijital olarak imzalanır.
AVeri Doğrulama
13
Log Depolama
Digital
İmza
HashZaman
damgası
MD5
SHA1
SHA256
SHA384
SHA512
DSA
RSA Uyarlanabilir
Zaman Sunucusu
Dosya/Dizin
İmzaları
Log dosyası
Log dosyasına ait
hash
CryptoLog bu dosyaların uyumluluğunu anlık olarak
denetler.
Alarm
A
13
14
Ağ içi bilgi güvenliği
Tek elden tüm logların yönetimi
Forensik Analiz
Uyumluluk ve resmi düzenlemeler
Hazır rapor şablonları
Kolay bakım, kolay sorun giderme
15
ACRYPTOLOG GöstergeleriAçıklayıcı Görsellik
A
Erişilebilirlik ve performansın izlenmesi
Potansiyel ticari fırsatlar
Güvenlik sorunlarınının tespiti
16
ACRYPTOLOG GöstergelerAçıklayıcı Görsellik
A
A
A
17
Forensik Analiz
Gelişmiş ve esnek arama seçenekleri
Hash’lenmiş veya ham veri üzerinde
arama imkanı.
Güçlü arama motoru, yüksek performans
Arama sonuçlarını PDF, XLS, DOC, CSV formatlarında dışa
aktarma
18
A
A
Forensik Analiz
19
ACRYPTOLOGİstatistiksel Raporlar
A
Kullanıcı ihtiyaçlarına göre
uyarlanabilirlik
Zamanlandırılabilir raporlar, e-posta uyarıları.
+400 Hazır rapor şablonu
PDF, XLS, DOC, CSV formatlarında raporlar.
20
ACRYPTOLOGÖrnek istatistiksel rapor şablonları
A
Güvenlik duvarı
şablonları
En çok engellenen kaynak
IP’ler
En çok istekte bulunulan
hedef IP/URL’ler
En çok kullanılan portlar
En çok işleyen kurallar
E-posta sunucu
şablonları
En çok mail gönderen adresler
En çok mail alan adresler
En büyük trafikte mail gönderen
adresler
En büyük trafikte mail alan
adresler
En çok kullanılan mail başlığı
Web sunucu şablonları
En çok istekte bulunan IP’ler
En çok istekte bulunulan URL’ler
En çok alınan sunucu hata
sayfaları
En çok alınan istemci hata
sayfaları
21
AUyumluluk, Düzenlemeler ve
Erişim KurallarıA
GLBA
SOX
DepolamaErişim
KontrolüUyumluluk
4 yıl
3 yıl2 yıl
1 yıl6 ay
ASıkıştırma & Depolama
17
A
Depolama 1/30 oranında sıkıştırma
Arşivleme
Yedekleme
Esnek konfigürasyon Disk
NAS
DAS
SAN
Bulut
HSM Yüksek güvenlikli
konfigürasyon
Depolama politikası
Arşivlenmiş /
sıkıştırılmış veri
üzerinde arama
A
A
20
Kurulum Senayosu-IÖlçeklendirilebilirlik
Router
Güvenlik
duvarı
Switch
Sunucu
CryptoLOG
Sensör
Sensör
Sensör
Merkezi log
sunucusu
CryptoLOG
CryptoLOG
CryptoLOG
Küçük ölçekli ağ yapısı Büyük ölçekli ağ yapısı
A
A
Kurulum Senayosu-IIEsneklik
Internet
Router
Firewall
Switch
Switch
İş istasyonları
Sunucular
Notebook’lar
sunucusu
Web Sunucusu
Dosya
sunucusu
DMZ
CRYPTOLOG
CRYPTOLOG 24
ACRYPTOLOG Erişilirlik Ajan
Depolama
Ajan
Aktif
Pasif
AktifCryptoLOG
Log
sunucusu
CryptoLOG
Log
sunucusu
AktifAktif-aktif
Aktif-pasif
Yüksek erişilebilirlik
25
CRYPTOSIM
Yazılım tabanlı SIEM çözümü
27
Tehdit algılama
Olay ilişkilendirme
Risk değerleme
Olay yönetimi
CRYPTOLOG
Korelasyon
A
28
KorelasyonA
Birden fazla olayın ilişkilendirilerek
olağandışı olayın tespitiOlay temelli
Kural temelli
Olağandışılık
temelli
Risk temelli
Farklı ancak ilgili olayların
ilişkilendirilerek yorumlanması
Olay
Zaman Kaynak
Erişimİçerik
A
29
CRYPTOSIM Korelasyon MotoruA
Mantıksal korelasyon
Çapraz korelasyon
Temel korelasyon
Temel
korelasyon
Mantıksal
Korelasyon
Çapraz
korelasyon
İçeriksel
korelasyon
Tarihsel
korelasyon
Hiyerarşik
korelasyon
İçeriksel
korelasyon
Tarihsel korelasyon
Hiyerarşik
korelasyon Basit kurallar, login hataları vb
Farklı log kaynakları üzerinde
aynı olaylar için çapraz korelasyon
Olay önceliklendirmesine dayalı
mantıksal ağaç yapısı algoritması
Varlığın karakteristiklerine dayalı
Toplanmış eski veriden imza
ve olağandışılık temelli tehdit
algılama
Depolanmış logun farklı
korelasyon kuralları ile tekrar
ilişkilendirilmesi
AKorelasyon Kuralları
21
A
Korelasyon kuralları, alarm üreten ya da aksiyon alan kurallar
kümesidir.
Özel korelasyon kuralları
(ihtiyaç doğrultusunda
hazırlanan kullanıcı tanımlı
kurallar)Hazır korelasyon kuralları
(açık kaynaklı kütüphaneler ve
araçlar)
ARisk Değerleme
21
A
Öncelik
Varlık
Güvenilirlik
Zaafiyet temelli
Hasar değerleme
Gerçekleşme olasılığı
RİSK
Varlık
Güvenilirlik Öncelik
AOlay Yönetimi
21
A
- Python veya Bash
betikleri
- Kötü niyetli
paketlerin
engellenmesi
- Sistemi kapatma
komutları
- Erişim engelleme
- Yeni kural tanımlama
- Olay tiplerine özgü
aksiyon alabilme
Aksiyon
<_
Alarm
- Özelleştirilebilir olay
kuralları
- Zamanlanabilir
bildirimler
- E-posta, SMS vb.
İle bildirim
- Arıza takip
sistemleri ile
entegrasyon
AThreat Intelligence
21
A
CTXCrypttech Threat Exchange
Advanced Threat and Malware Analyses Services
CTX Agent
Rules
ML – Central Machine Learning Grid
ML
New CryptoSIM Engine
Data
New Rules
Data
New Rules
CRYPTTECH SOC
AThreat Intelligence APT
21
A
PortScan
DMZ
PortScan
5Risk Level
PortScan Detected
Web Servers Detectedby Hacker
SQL Injection
SQL Injection
6SQL Injection Detected
Deploying Payload
Symetric Traffic
7Symetric Traffic Detected
Infected Web Server
Open Connection
8Open Connection to LAN by infected server
Exploit
9Windows Exploited –New User added
10Windows Exploited –User Added Domain Admin Group
AThreat Intelligence
21
A
AThreat Intelligence
21
A
AThreat Intelligence
21
A
AThreat Intelligence
21
A