İLETİŞİM DESTEK

Korelasyon

 

Bağımsız iki olay arasındaki ilişkinin yönünü ve gücünü belirtir. İki olay birbiri ile ne kadar alakalı / alakasız toplanan kayıtların belli senaryolar eşliğinde incelenmesi, birbirini tamamlayan veya birbirine katkı sağlayan olay kayıtlarının arasında bir ilişki kurulmasıdır. Saldırı senaryolarının oluşturulması gereklidir. Saldırının son safhasına kadar yol üzerinde kayıt üretmesi beklenen sistem bileşenleri belirlenip olaylar mantıksal olarak ilişkilendirilmelidir.

Olay yönetimi günümüz dünyasında iş yapmanın getirdiği yüksek seviye risklerin yönetilebilmesi için gerekli olan depolama, gerçek zamanlı gözleme, tarihsel analiz ve otomatik cevap gibi mekanizmaları gerektirmektedir. SURELOG gerçek zamanlı olay yönetimini SURELOG korelasyon modülü ile sizlere sağlıyor. 

SURELOG’nın gelişmiş gerçek zamanlı korelasyon kabiliyeti, herhangi bir olay için bu olayla ilgili olarak kim, ne, nerede, ne zaman, neden sorularının ilgisini ve riskler üstündeki etkisinin ortaya çıkmasını sağlar.

SureLog yeni kural motoru ve CEP motoru ile gücüne güç katıyor!!!

 

ANET Yazılım Güvenlik Analizi ve Log Yönetimi ürünü SureLog'a kural motoru ekledi.

Kural motoru JSR94 Rule Engine API destekleyen uluslararası standartlarda bir motordur.

 

Kural Mimarisi

SureLog çalışmaya başladığında SureLog kural motoru üzerindeki kurallar "Production Memory"'ye aktarılır. "Working Memory" üzerinde bulunan sistem nesneleri (unsurlar) da "Pattern Matcher"'a aktarılır. Burada hangi kuralın çalışacağı belirlenir. Çalışacak kurallar belirlendikten sonra "Agenda" ile kuralların çalışma sırası belirlenir.

 

SureLog mevcut alarm yönetimi özellikleri kullanıcıya hazır şablonlar sunuyordu zaten. Mevcut alarm şablonları:

  • A Process has Exited [Windows]
  • Account Database Change [Windows]
  • Active Directory is started [Windows]
  • Active Directory is stopped [Windows]
  • An ISA Service failed to start [Windows]
  • Application installed successfully [Windows]
  • Application uninstalled [Windows]
  • Audit Logs Cleared [Windows]
  • Audit Policy Changed [Windows]
  • Bad Disk sector detected [Windows]
  • Cache initialization fail for ISA [Windows]
  • Chasis Intrusion [Windows]
  • Computer Account Changed [Windows]
  • Computer Account Created [Windows]
  • Computer Account Deleted [Windows]
  • Disk restriction in place for ISA Server [Windows]
  • DNS Server Started [Windows]
  • DNS Server Stopped [Windows]
  • DNS Server timed out [Windows]
  • DNS Server updated [Windows]
  • DNS Zone shutdown [Windows]
  • Domain Policy Change [Windows]
  • EventLog Service Stopped [Windows]
  • Failed Logins [Unix]
  • Insufficient Memory Available [Windows]
  • Memory Dump saved [Windows]
  • Network Adapter Connected [Windows]
  • Network Adapter Disconnected [Windows]
  • New Process Created [Windows]
  • Norman Antivirus found infected file [Windows]
  • NTDS database engine is started [Windows]
  • NTDS database engine is Stopped [Windows]
  • NTDS defragmentation is complete [Windows]
  • NTDS defragmentation is started [Windows]
  • Object Deletion Failure [Windows]
  • OS is shutting down [Windows]
  • OS is starting up [Windows]
  • Printer Added [Windows]
  • Printer Created [Windows]
  • Replacing System file attempted [Windows]
  • Starting File Replication Service [Windows]
  • Successful CRON Jobs [Unix]
  • Successful FTP Log-offs [Unix]
  • Successful FTP Log-ons [Unix]
  • Successful Password Resets [Windows]
  • Successful User Log-ons [Unix]
  • Successful User Logoffs [Windows]
  • Successful User Logons [Windows]
  • System Resources Exhausted [Windows]
  • Unsuccessful Login Attempts [Windows]
  • User Account Disabled [Windows]
  • Windows install operation [Windows]

Yukarıdaki hazır şablonlar dışında ayrıca kullanıcıya kelime bazlı alarmlar oluşturma imkanı sunulmakta idi. Bu yeni kural motoru ile hem korelasyon kuralları hem alarmlar oluşturabilmek için yeni ve daha esnek ve güçlü bir altyapı sunuluyor. Kullanıcının yapabilirliklerinin önündeki sınırlar tamamen kaldırılmış oluyor.Mesela

  • Kullanıcı normalize edilmiş logları istediği yere kopyalayabilir,taşıyabilir,silebilir vs..
  • Karmaşık alarmlar oluşturabilir.
  • Loglar arasında korelasyon oluşturabilir.
  • Gelen loga göre yeni kayıtlar oluşturabilir
  • Vs…