AleinVault Unified SEIM
با توجه به گسترش شبکه ها و سخت افزار ها و نرم افزار های موجود و حجم بالای ترافيک تبادلی بين آنها محافطت و بررسی تک تک محصولات و گزارشات امنيتی ضبط شده در آنها کاری دشوار می باشد .
همچنين همواره خطرات امنيتی شبکه ها را تهديد کرده و پاسخدهی لحظه ای و آنی به اين تهاجمات بسيار ضروری می باشد اما برای متخصصان شبکه و امنيت شبکه بررسی گزارشات ارسالی از تجهيزات موجود بسيار دشوار می باشد .
لذا در سالهای اخير محصولاتی به نام SIEM(security information & event management) به بازارIT عرضه شده که مسئوليت بررسی , آناليز , مانيتور کردن شبکه , اتفاقات رخ داده در آن ارتباط دادن اين رخداد ها به يکديگر ودادن گزارشات خلاصه و گرافيکی به مسئولين مجاز می باشد .
البته هر کدام از محصولات عرضه شده از اين دسته دارای امکانات جانبی نيز می باشد که موجب می شود تا در انتخاب اين نوع محصولات دقت بيشتری نمود که از مطرح ترين آنها ESA security , Arcsight , Qradar , Cisco MARS (از طرف شرکت سازنده به بازار عرضه نمی شود) و Alien vault OSSIM نام برد. اين محصول يکی از بهترين و کامل ترين محصولات عرضه شده در گروه SIEM ها ،محصول شرکت AlienVault به نام OSSIM(open source security information management) می باشد.
محصول OSSIM در واقع سيستم عامل Debian linux می باشد که نرم افزار های خاصی روی آن نصب شده و جهت انجام وظيفه خاصی TUNE شده است . و جهت نصب نسخه Professional آن بايد LICENCE خريداری شود(بعضی از قابليتهای سيستم روی اين نسخه قابل استفاده می باشد) .
محصول به سه بخش اصلی تقسيم شده است :
A. Sensors
B. SIEM
C. Logger
: Sensors .a
وطيفه پايش و بررسی ترافيک های موجود را بر عهده دارد که تجميع شده از نرم افزار های امنيتی مانند Snort,Nmap و …است که به صورت پيوسته کار پايش را در شبکه بر عهده دارد .
: SIEM .b
اطلاعات و گزارشات خامی که توسط تجهيزات و نرم افزار ها و سنسور ها به دست OSSIM می رسد بعد از تجميع , بررسی, آناليز و ارتباط دهی (correlation) که مهمترين وطیفه ی اين بخش می باشد نمايش داده می شود .
: Logger .c
اطلاعات ارسالی و اطلاعات OSSIM در اين بخش نگهداری می شود که ديتا بيس بر پایه ی Mysql می باشد .
از ویژگیهای این محصول می توان به موارد زیر اشاره نمود:
1- ارتباط توسط web console و ssh
2- تعریف سطوح دسترسی :
يکی از برتری های اين محصول به محصولات مشابه می توان در قابليت تعريف کابران با دسترسی های مشخص و محدود به قسمتهای مختلف می باشد بدين ترتيب می توان کاربران را بر اين اساس طبقه بندی نمود .
3- ارسال گزارشها از طریق :
- Doc
- Html
4- به روز رسانی :
جهت دريافت به روز رسانی و نصب آنها پس از ارتباط comman-line دستورهای مرتبط را زده تا plugin های ديگر را دریافت نمايد.
—-
همچنین این محصول دارای قابلیتهای زیر می باشد.
a. تجميع گزارش تمام نرم افزار ها و سخت افزار های امنيتی :
با توجه به قابليت جمع آوری گزارشات امنيتی دارای يک ديتابیس کامل از آن می باشيم که باعث دسترسی سريع و پشتيبانی از اين گزارشات بوده و به راحتی ودر هر زمان می توان به آنها دسترسی داشت .
b. قابليت و حجم مناسب جهت ذخيره اطلاعات در ديتا بیس و نگهداری امن :
شرکت سازنده به اين نکته تاکید دارد که محصولشان دارای قابليت بالايي در ذخيره اطلاعات می باشد و همچنين قابليت پشتيبان گیری از اين اطلاعات در آن لحاظ شده است البته ذکر اين نکته ضروری است که اين نرم افزار بايد روی يک سرور با قابليت بالای سخت افزاری جهت ذخيره اطلاعات نصب شود .
c. قابليت تبادل اطلاعات به صورت امن :
محصول موجود قابليت تبادل اطلاعات در قالب Syslog-ng می باشد که گزارشات را در حال ارسال و دریافت رمز نگاری می کند .
d. آناليز کردن log ها و خلاصه کردن و مرتبط کردن آنها به يکديگر جهت گزارش به فرد مسئول :
فرض کنيد از بيرون شبکه فردی به صورت غير مجاز سعی در دسترسی به يکی از سرورها می باشدو اين مسير می تواند شامل روتر،فايروال edge، switch ، فایروال سخت افزاری موجود در server zone و فاير وال نرم افزاری موجود روی سرور باشد که هر کدام گزارش خود را ارسال می کنند؛ حال SIEM موجود با توجه به تشابهات(مانند:یکسان بودن src ipو يا dest ip و….. )و تعاريف انجام شده متوجه یکسان بودن اين گزارشات می شود وپس از استخراج خطای احتمالی در تشخيص حمله (در صورت وجود) آن را در قالب گزارش وAlarm به فرد مسئول گزارش می دهد .
Figure 5(correlation)
e. قابليت شنا سايی log هايی که بصورت اشتباه گزارش داده شده است(false positive) :
امکان شناسايي false positive ها به صورت هوشمندانه که باعث کاهش حجم log ها و عدم ارسال به فرد مسئول می شود .
f. کار کرد آسان و امکان ارتباط امن با دستگاه :
اينترفيس تحت web موجود که رابط کاربری با سيستم می باشد قابليت کارکرد راحت با آن وکنترل و مانيتورينگ را فراهم نموده و ارتباط SSH نيز ارتباط امن را امکان پذير و تضمين می نمايد .
g. امکان بررسی و گزارش اطلاعات به صورت نمودار گرافيکی و قابل فهم :
يکی از مهمترين مشخصه هايي که کارکرد با اين محصول را بسيار راحت می نمايد نمودار های گرافيکی می باشد که به صورت لحظه ای در حال به روز رسانی می شود و شامل تعداد تهاجمات با ريسک بالا ، نمودار بر اساس گزارشات سنسور ها ، …. می باشد.
Figure 6(graphs)
h. امکان ترسیم نقشه شبکه :
با توجه به پرتکل های موجود و فعال در شبکه امکان ترسيم هوشمندانه نقشه شبکه امکان پذير می باشد.
Figure 7(network topology)
i. امکان گرارش لحظه ای و history :
سنسور های تعبیه شده امکان شناسایی لحظه ای خطرات و تهاجمات را بر عهده دارد که مسئول مربوطه را با ارسال Email و نمايش روی interface خود آگاه می نمايد .
j. امکان scan شبکه و پيدا کردن نقطه ضعف ها :
يکی ديگر از خصوصیات منحصر به فرد اين محصول وجود نرم افزار های scan شبکه که می تواند به صورت اتوماتيک و يا به صورت دستی اين کار را انجام دهد .
k. امکان شناسايی دستگاه ها و user های اضافه شده به شبکه و تغيير configuration در تجهيزات :
با توجه به بعضی از سرويسهای مديريتی موجود روی سخت افزار ها و نرم افزار های شبکه اين محصول می تواند هرگونه تغيير در ساختار شبکه و تغيير پيکر بندی در آن را متوجه و گزارشدهی نمايد .
l. امکان گزارش دهی به فرد مسئول از راه های مختلف :
امکان ارائه گزارشات به صورت دوره ای به صورت فایل Pdf , Doc,Html و ارسال از طريق Email
با توجه به پشتيبانی OSSIM از قالب های رايج گزارش گيری , قابليت تعريف قالب های غير معمول , وجود سرويسهای فعال در شبکه و قابليت شناسايي سخت افزار ها و نرم افزار ها از طريق ديتا بیس موجود در خود امکان sync شدن با اکثر تجهيزات شبکه را می باشد) با توجه به plugin های موجود در دیتا بيس سيستم به صورت خودکار قابليت شناسايي سخت افزارهاو نرم افزارهای شبکه را دارا می باشد) . معمولا سيستم های تحت لينوکس دارای پايداری و اطمينان بالايي می باشند که اين محصول که نسخه Linux Debian که Serverbase می باشد از اين امر مستثنی نيست و با نصب روی يک سرور با performance مناسب از کارکرد مناسب آن مطمئن بود .n. اطمينان و پايداری بالای محصول :