سامانه بومی مدیریت اطلاعات و رخدادهای امنیتی CoreLog® 3

 


امنیت مقوله ای بسیار پیچیده و متشکل از مولفه های مختلفی است. کارکنان، کاربران، پیمانکاران، شرکای تجاری، پایگاه های داده، وب سایت ها، برنامه های کاربردی و حتی زیرساخت های فیزیکی همه و همه از عوامل تاثیرگذار در شکل گیری یک سازمان امن هستند. مدیریت و نظارت بر همه این مولفه ها امری بسیار دشوار و در برخی موارد غیرممکن است. بخصوص اگر این نظارت با استفاده از ابزارهای جزیره ای و بعضا ناهمگون صورت پذیرد. شاید بتوان پاسخ این نگرانی را در گنج نهفته سازمانها یعنی Log (رخداد) جستجو کرد. Log بیانگر هر آن چیزی است که در سازمان رخ می دهد و در صورتی که بدرستی استفاده شود، دارایی با ارزشی برای سازمان محسوب می شود. مدیریت رخداد (Event Management) می تواند درحوزه امنیت، انطباق با سیاستهای سازمانی، توسعه برنامه های کاربردی و عملکرد های سازمانی بسیار قابل توجه باشد. رخداد (Event)، شاه کلید نظارت یکپارچه بر کل سازمان است. بنابراین استفاده از یک رویکرد جامع و یکپارچه برای مدیریت رخدادها، مانع از به هدر رفتن منابع سازمانی و در نتیجه کاهش ریسک های سازمان می شود. توانایی پاسخ سریع و جستجو و بررسی رخدادها در سازمان، اطلاعات جامع و کاملی را برای سازمان فراهم میکند. در واقع این اطلاعات سبب ایجاد چشم انداز جامعی در شبکه، سیستم ها و سلامتی برنامه های کاربردی شده و بهبود فعالیت های خطایابی سیستم ها و شبکه را به همراه دارد. بکارگیری صحیح رخدادها سبب می شود رویکرد سازمان در مواجه با حوادث از یک حالت واکنشی و تدافعی به یک حالت پیش بینی کننده و پیشگیرانه تبدیل شود و این ارزشمندترین نتیجه ای است که از رخداد حاصل می شود. در یک بیان کلی می توان اظهار داشت که در یک سازمان با بخش ها و واحدهای مختلف عملیاتی، دریافت و ذخیره رخدادهای تجهیزات مختلف سازمان و تجزیه و تحلیل خودکار آنها، اهرم کنترلی و نظارتی بسیار موثری است که بصورت کاملا یکپارچه، راهبران امنیتی را در شرایط بحران یاری می رساند.

behinpishro corelog logo mainpage
رخدادها می توانند برای نائل شدن به اهداف زیر مورد استفاده قرار گیرند:

  درک نحوه عملکرد تجهیزات، فرایندها و افراد در سازمان

  کشف رفتارهای غیرمعمول و بعضا مخرب

  مقابله با جرایم سایبری، با استفاده از تحلیل رخدادها و آثار بجا مانده از جرمهای قبلی

  بهبود فرایند مدیریت برنامه های کاربردی، سرور ها و زیر ساخت های سازمانی از طریق مانیتورینگ فرایندهای سازمان

  تسهیل توسعه برنامه های کاربردی از طریق تحلیل رخدادهای جمع آوری شده در جهت کشف نقص کدها، خطاها و مسائل مربوط به ارتباطات

مشکلات مدیریت رخدادها (Event Management)

  حجم رخدادها با گذشت زمان بسیار زیاد می شود. در برخی از موارد این حجم می تواند شامل میلیاردها رخداد و ترابایت ها فضای ذخیره سازی شود.

  رخدادها باید مدت زمان طولانی نگهداری شوند. طبق استاندارد ISMS رخدادهای جمع آوری شده از سیستم های مختلف بین 12 تا 18 ماه باید نگهداری شوند. این موضوع مدیریت رخدادها را در طول زمان دچار مشکل می سازد.

  فرمت رخدادهای تولیدی توسط تجهیزات مختلف، متفاوت است. پردازش رخدادها با فرمت های مختلف چالش دیگری در راه مدیریت رخدادها محسوب می شود.

  استخراج روابط بین رخدادهای مختلف و کشف دانش مخفی در این داده ها، فرایند بسیار پیچیده ای است.

  طراحی و ساخت موتور هوشمند کشف حملات در سامانه های مدیریت رخداد احتیاج به سطح بالاتری از دانش موجود دارد.

با توجه به در نظر گرفتن تمامی چالش های فوق، سامانه هایی تحت عنوان (SIEM (Security Information and Event Management ایجاد شده اند که به منظور "تبدیل داده های حاصل از رخدادها به اطلاعات و استخراج دانش از این اطلاعات" در جهت مدیریت متمرکز امنیت در سازمان توسعه داده شده اند.

SIEM چیست؟

ازآنجا که ثبت وقایع و رخدادهای مربوط به تجهیزات مختلف حجم عظیمی از اطلاعات را ایجاد می کند، مرور و بازرسی همه آن‌ها توسط عامل انسانی مستعد خطا بوده و در برخی موارد نیز غیر ممکن است. به منظور بازرسی و بررسی رخدادها، سامانه های (SIEM (Security Information and Event Management مرور خودکار داده ها را منطبق با قوانینی که مدیر سیستم تعریف می نماید بر عهده می گیرند. همچنین برای پیاده‌سازی استانداردهای امنیتی مانند ISO ، PCI DSS و ...، به جمع آوری و نگهداری رخدادهای تجهیزات سازمان تا مدت معینی نیاز است. نگهداشت بلندمدت رخدادها و امکان استفاده از این رخدادها در بلند مدت توسط سامانه های SIEM انجام می شود. رخدادها در سامانه SIEM به صورت اولویت بندی‌شده و براساس ریسکی که برای سازمان مطرح می کنند دسته بندی می‌شوند. این کار راهبر امنیتی سامانه را قادر می سازد که در میان انبوهی از رخدادها، به رخدادی که اهمیت بیشتری دارد، توجه کند. از سویی دیگر همیشه داشتن گزارشات گرافیکی برای درک سریع وضعیت امنیت سازمان، اهمیت زیادی دارند. این گزارش‌ها کار تحلیل و بررسی خط مبنا و خط سوق رخدادها را نشان می دهند. سامانه SIEM با تولید گزارشات گرافیکی سبب تسهیل کار مدیران در تحلیل داده ها می‌شود. بدین ترتیب در صورت بروز مشکلات امنیتی با استفاده از همین گزارشات گرافیکی می توان به کشف علت مشکلات تسریع بخشید. امروزه با افزایش حجم اطلاعات امنیتی و گسترش انواع محصولات مورد استفاده شرکت ها نیاز به یک کنترل متمرکز در سازمان ها برای پایش رخدادهای سازمان وجود دارد. علاوه بر لزوم مرور فایل‌های ثبت رخداد‌ در بررسی مطابقت با استانداردهای امنیتی نیاز به نرم افزاری که اتفاق رخدادهای مورد نظر و مهم را به راهبر شبکه اطلاع دهد، بسیار مهم است. به علاوه تحلیل رخداد به صورت بی‌درنگ و نیز بررسی خودکار رخدادها در مواردی که رخدادها حجم عظیمی را تشکیل می دهند، از اهمیت به سزایی برخوردار است. سامانه بومی کورلاگ ( CoreLog ) برای پاسخ به این نیاز فوری سازمان ها توسعه یافته است.

SIEM و مرکز عملیات امنیت SOC

امروزه با توجه به گسترش وقوع تعداد حملات امنیتی در سازمان ها و تنوع و پیچیدگی بسیار زیاد این حملات گرایش کارشناسان امنیت به سمت ادغام مراکز نظارت بر شبکه (NOC) با نظارت بر امنیت است. از آنجا که رخدادهای شبکه‌ای در سازمان جزئی از رخدادهای مهم امنیتی هستند به همین سبب استفاده از این راهکار باعث می شود بتوان نظارت همه جانبه‌ای را بر سازمان اعمال کرد. به عبارت دیگر این موضوع سبب یکپارچه شدن فرایندهای نظارتی و افزایش دقت و سرعت در واکنش به مسائل و مشکلات امنیتی می گردد. رخدادهای امنیتی با استفاده از Log های سرویس‌ها و تجهیزات مختلف در سازمان جمع آوری و توسط سامانه خودکار پردازش رخدادها مورد بازرسی و نظارت قرار می گیرند. در چنین حالتی مرکز ایجاد شده که تحت عنوان مرکز عملیات امنیت شناخته می شود باید مجهز به سامانه SIEM بعنوان قلب تپنده این مراکز باشد. این بدین معنی است که ایجاد مراکز SOC(Security Operations Center) بدون سامانه SIEM غیرممکن است.

چرا کورلاگ (CoreLog)
  • محصولی بالغ شده
  • کشف تخطی
  • کشف طراحی های نامناسب
  • کشف تنظیمات نامناسب
  • اتصال شبکه شهپاد
  • پشتیبانی
  • Agent اختصاصی
  • مجوز تاییدیه
کورلاگ محصولی بالغ شده بر اساس بازخوردهای سازمانی

اساسا یکی از دلایل موفقیتهای یک ابزار کارکرد آن در محیط های عملیاتی و اعمال بازخوردهای کاربران آن در بهینه سازی طراحی و کارایی سامانه می باشد. کورلاگ بواسطه اینکه از سال 1390 در بیش از 70 سازمان بزرگ نصب و راه اندازی شده است و رویکرد شرکت در بهینه سازی ابزار بر اساس بازخوردهای محیط مشتریان بوده است، موجبات بلوغ سامانه را فراهم کرده است. کورلاگ بواقع SIEM ی با استاندارهای جهانی اما مبتنی بر نیازهای سازمانهای ایرانی است. از این رو شاید بتوان کورلاگ (CoreLog) را تنها محصول SIEM داخلی نامید که سالهاست در طراحی و پیاده سازی آن چرخه PDCA مورد استفاده قرار می گیرد. مشتریان بزرگی چون شرکت ایرانسل، بیمه مرکزی، بیمه ایران، شرکت ملی نفت، شرکت ملی نفتکش، بانک توسعه تعاون، بانک گردشگری، وزارت ارتباطات و فناوری اطلاعات و ده ها شرکت بزرگ دیگر همگی نمونه ای از شرکتهایی هستند که به رشد و بلوغ سامانه کورلاگ (CoreLog) کمک کرده و باعث ارتقاء در بین SIEM های دیگر شده اند. از طرف دیگر تنوع Category هایی که کورلاگ (CoreLog) در آنها پیاده سازی شده است نشان از پویایی متوازن کورلاگ در حوزه های مختلف کسب و کار است. از حوزه های بانکی و بیمه تا نفتی و شهرداری ها.

مناسب برای کشف تخطی از سیاستهای سازمانی (Policy Validation)

معمولا دلیل اصلی تامین(SIEM (Security Information and Event Management استفاده از آن برای تشخیص همبستگی رخدادها (Correlation) می باشد. غافل از اینکه بسیاری از مشکلات بوجود آمده در سازمانها و شرکتها، تخطی از سیاستهای سازمانی توسط کاربران شبکه داخلی می باشد که نهایتا منجر به بروز مشکلات عدیده و سوء استفاده خرابکاران می شود. از اینرو سامانه کورلاگ علاوه بر پشتیانی از انواع Correlation (Rule Base, Anomaly, Vulnerability) با کنترل 1500 نوع فیلد داده ای مختلف تخطی از سیاستهای سازمانی را گزارش می دهد. لازم بذکر است که طبق بررسی های جهانی، بیش از 50% مشکلات امنیتی سازمانها ناشی از تخطی های کاربران از سیاستهای سازمانی می باشد. تمرکز کورلاگ (CoreLog) بر کشف رفتارهای مخرب ناشی از سوابق پیاده سازی در محیطهای عملیاتی نظیر بانکها، بیمه ها و مراکز صنعتی ایجاد شده است که دفاتر و مراکز گسترده داشته و لزوم صیانت از داده های سازمانی در مقابل دسترسی های غیر مجاز امری مهم بوده است.

امکان کشف طراحی های نامناسب شبکه

با توجه به اینکه رویکرد سامانه کورلاگ (CoreLog) جمع آوری کلیه رخدادهای سازمان می باشد، کشف مشکلات طراحی شبکه با توجه به نوع ترافیک عبوری و نیز پیکربندی تجهیزات امکان پذیر می گردد. از اینرو معمولا پس از راه اندازی و استقرار سامانه با استفاده از گزارشات از پیش تعریف شده می توان به کشف مشکلات طراحی شبکه و مرتفع سازی آنها پرداخت. به عبارت دیگر کورلاگ (CoreLog) صرفا یک سامانه SIEM نیست بلکه می توان از آن بعنوان یک راهکار جهت کشف مشکلات شبکه و ایجاد یک طرح بهینه در سازمان استفاده نمود. نمونه های بسیاری از این توانمندی کورلاگ (CoreLog) در محیطهای عملیاتی وجود دارد. جایی که از طریق کورلاگ به نقصان در طراحی و پیاده سازی "طرح جدایی شبکه داخلی از اینترنت" پی برده شده و یا کشف حملات گسترده کارمندان داخل سازمان به یک پایگاه داده بسیار مهم در شبکه سازمان که بدلیل طراحی نادرست در قرار گیری پایگاه داده بوده است.

امکان کشف تنظیمات نامناسب تجهیزات

علاوه بر مشکلاتی که می تواند در طراحی شبکه وجود داشته باشد عدم پیکربندی مناسب تجهیزات، می تواند طراحی درست شبکه و زیرساخت را نیز ناکارآمد کند. سامانه کورلاگ می تواند با بررسی رخدادهای داخلی سیستمها و ترافیک شبکه نسبت به ارائه گزارشات مناسب در خصوص تنظیمات نامناسب تجهیزات اقدام نماید.

امکان برقراری ارتباط با شبکه شهپاد (شبکه هوشمند پوشش امنیت دفاعی)

یکی از قابلیتهای منحصر بفرد سامانه کورلاگ امکان برقراری ارتباط با شبکه شهپاد به منظور به اشتراک گذاری الگوی Incidentهای رخ داده در شبکه متصل به آن می باشد. شبکه شهپاد که در سال 92 بعنوان دستاورد برتر ملی شناخته شده است امکان مدیریت یکپارچه شبکه های متصل به آن را برای همه سازمانها فراهم کرده و هزینه تمام شده کشف و حل مشکلات امنیتی و حوادث را به شدت کاهش می دهد. از طرف دیگر با استفاده از این شبکه گسترده به هم پیوسته، دانش ساری و جاری در مراکز عملیات امنیت به همه SOC ها انتشار یافته و سطح بلوغ یکسانی را در طول شبکه شهپاد ایجاد می کند..

پشتیبانی از روشهای استاندارد پیاده سازی سامانه های SIEM

یکی از اصلی ترین دلایل عدم موفقیت سامانه های SIEM، روش نامناسب پیاده سازی آنها در سازمانهاست.بر اساس تجربیات حاصل از پروژه های متعدد، شرکت بهین راهکار نه تنها از یک راهکار اختصاصی برای پیاده سازی SIEM بهره می گیرد بلکه ابزارهای متعددی نیز برای این منظور تولید کرده است. بعنون مثال می توان به سامانه Capacity planner اشاره کرد که ابزاری به بزرگی کورلاگ (CoreLog) اما صرفا برای کاربرد فاز شناخت است و توسط شرکت بهین راهکار تولید شده و توسعه یافته است.تولید ابزارهای خاص منظوره استقرار SIEM این شرکت، نشان از توانمندی و نیز تجربه فراوان در ایجاد ابزارهای مورد نیاز برای ارائه خدمات مناسب تر به مشتریان دارد.

دارای Agent اختصاصی برای سیستمهای عامل ویندوز و لینوکس

بسیاری از سامانه های SIEM حتی در سطح جهانی از agent های عمومی نظیر snare برای دریافت اطلاعات سیستم های ویندوزی و لینوکسی استفاده می کنند. دلیل این موضوع عدم تمرکز این سیستم ها به دریافت اطلاعات از سیستمهای نهایی و بیشتر معطوف به پردازش اطلاعات حاصله از سیستمهای امنیتی نظیر فایروالها و IDS ها می باشد. با توجه به مشکلات موجود در شبکه های ایرانی که عمدتا کلاینتها در بروز آنها نقش مهمی ایفا می کنند؛ رویکرد کورلاگ (CoreLog) به دریافت موثرتر اطلاعات از کلاینتها و سرورهای ویندوزی و لینوکسی از طریق تولید یک ایجنت اختصاصی قرار گرفت. در حال حاضر ایجنت اختصاصی کورلاگ (CoreLog) توانمندیهای بسیار بیشتر از دریافت لاگ داشته و توسعه پروتکل اختصاصی (CLUP (CoreLog Universal Protocol بر اساس همین دیدگاه صورت گرفته است.

دارای مجوز تاییدیه نرم افزار از شورای عالی انفورماتیک

سامانه کورلاگ (CoreLog) تنها ابزار SIEMی است که از طرف شورای عالی انفورماتیک دارای مجوز تایید نرم افزار و اصالت کد می باشد. این مجوز تضمین می کند که تمامی مراحل طراحی و تولید ابزار بصورت کاملا بومی و توسط شرکت بهین راهکار به انجام رسیده است.

معرفی کورلاگ

تولید سامانه SIEM بومی با نام تجاری CoreLog از سال 88 در دستور کار شرکت بهین راهکار قرار گرفت. نسخه اول این سامانه بر اساس دانش کسب شده از بررسی سامانه های مشابه خارجی نظیر ArcSight ،Splunk و QRadar الگو برداری از عملکرد اینگونه سامانه ها تولید گردید. با توجه بازخورد بدست آمده از عملیاتی شدن دو مورد از نسخه اول سامانه مشخص گردید راهکارهای خارجی برای امنیت الزاماً نمی توانند تمامی شرایط مورد نیاز شرکت ها و سازمانهای ایرانی را برآورده سازند. از اینرو تولید نسخه دوم سامانه با رویکرد خاص بومی سازی محصول SIEM به لحاظ عملکرد آغاز گردید و نتیجه آن محصولی Enterprise مطابق با شرایط و الزامات داخلی کشور بود. این نسخه از سامانه در بیش از 10 شرکت و سازمان خصوصی و دولتی در حوزههای مختلف نفتی، بانکی، بیمه و غیره نصب و راه اندازی گردید. با توجه به اینکه سامانه های SIEM بشدت وابسته به مدیریت انسانی جهت بررسی و Tuning سیستم می باشند وجود قابلیتهای به منظور Customize کردن سیستم بر اساس نیازهای مشتری آن چیزی بود که موجب تولید کورلاگ نسخه 3 گردید. در این نسخه همه ماژولها بصورت داینامیک طراحی شده اند و مدیر سیستم می تواند به راحتی تمامی قسمتهای سامانه را با توجه به نیازهای سازمانی خود تغییر دهد. علاوه بر آن معماری توزیع شده سیستم این امکان را به سامانه می دهد تا با مقیاس پذیری بالا پاسخگوی گستره وسیعی از پروژه باشد. بکارگیری کورلاگ مزایای زیادی برای سازمان به همراه دارد که برخی از آنها عبارتند از:

  کشف حوادث امنیتی

  شناخت موارد تخلف از سیاست‌ها

  شناخت فعالیت های جعل هویت و نفوذ

  شناخت مشکلات عملیاتی

  تحلیل‌های کارآگاهی (بررسی علت حوادث)

  پشتیبانی از بازرسی‌های داخل سازمانی

  ایجاد baselineها و روندهای طبیعی و نظارت خودکار بر آنها

  شناخت و نظارت بر فرایندها عملیاتی سازمان

  شناخت مشکلات بلند‌مدت سازمانی

مزیت های کورلاگ
  • انجام عملیات Forensic
  • کاهش هزینه ها
  • جرایم سایبری
بکارگیری کورلاگ (CoreLog) به منظور انجام عملیات Forensic

کورلاگ به عنوان راهکاری جامع برای مدیریت لاگ ها، امکان جستجو، گزارش دهی، هشدار و آنالیز هر نوع رخداد را در سازمان فراهم میکند. این راهکار منحصر به فرد قابلیتهای بیشماری را بهمراه دارد که از جمله آنها می توان به تسهیل در جمع آوری، ذخیره سازی و تحلیل مقادیر عظیم داده های تولید شده در سازمان، اشاره نمود. این بدین معنی است، که تحلیل های forensic با سرعت بالایی امکان پذیر بوده و همچنین ذخیره هوشمندانه و کارآمد رخدادهای دریافتی، امکان اجرای چندین سیاست امنیتی را بطور همزمان فراهم می سازد. راهکار فوق قابلیتهای های زیر را برای سازمان ها به همراه دارد:

  کشف ارتباطات بین سیستم ها، افراد و برنامه های کاربردی در جهت اصلاح ساختار و فرایندهای سازمانی از طریق capture کردن، شاخص گذاری و فهرست نمودن تمامی رخدادها.

  تسهیل در مدیریت برنامه های کاربردی، از طریق امکان مشاهده لیست برنامه های موجود در سازمان و مشاهده رخدادهای هر کدام از آنها.

  مقابله با جرایم سایبری، با ارائه تحلیل ها و آنالیز های جامع در تمامی انواع داده ها برای جستجوهای forensic و کاهش حملات سایبری.

  بررسی های دوره ای از انطباق کلیه فعالیت ها با سیاستهای سازمانی، از طریق جمع آوری داده ها و ارزیابی کیفیت آنها، ذخیره سازی بهینه و ارائه گزارش از ارزش دارایی ها و اطلاعات.

   تضمین جمع آوری بدون وقفه کلیه رخدادها بواسطه captureکردن آنها با یک نرخ EPS منظم.

  تضمین نگهداشت امن رخدادها در جهت حسابرسی ها و بررسی های کاملا قابل اعتماد از طریق بکارگیری سیاست های کنترل دسترسی قدرتمند و نیز الگوریتم های هوشمند و امن ذخیره سازی رخدادها به نحوی که حتی مدیر سیستم نیز قادر به پاک کردن و یا تغییر دادن آنها نیست.

  یکپارچه سازی پیشرفته رخدادها، از طریق دریافت Logهای خام از منابع مختلف و Normalize کردن آنها در یک فرمت قابل فهم برای انسان.

  ارائه تحلیل ها و آنالیزهای قدرتمند بواسطه جستجوهایی با کارایی بالا از تمامی فرمت های داده ای، گزارش دهی جامع، اعلام هشدار بصورت آنی به ازای رخداد جرایم سایبری.

  ذخیره سازی بصرفه رخدادها.

کورلاگ (Corelog) راهی برای کاهش هزینه ها

کورلاگ (Corelog) توانمندی ایجاد گزارشات کارا و نیز صدور هشدارهای آنی در سازمان را دارد. این راهکار سبب کاهش میانگین زمان بهبود و رفع نواقص شده و همچنین موجب بهبود در المان های اساسی زیر می گردد:

  مدیریت برنامه های کاربردی

  مدیریت کاربران

  مدیریت تغییرات

  مدیریت شبکه ها و زیرساخت ها

همچنین با توجه به توانمندی کورلاگ (CoreLog) در شناسایی، مدیریت و راهبری انواع مختلف فرمت لاگ ها، از یک سو و تبدیل انواع مختلف رخدادهای (Logs) تجهیزات گوناگون به یک فرمت ساده و قابل فهم از سویی دیگر، عملاً نیاز به حضور کارشناس تحلیلگر لاگ با دانشی ویژه برای درک لاگ ها کم رنگ می شود. برای نمونه، با یک جستجوی ساده برای مشاهده تغییرات پیکربندی، تمامی لاگ ها با فرمت های مختلف را، از تمامی تجهیزاتی که تغییری بر روی پیکربندی خود داشته اند، بر میگرداند.

کورلاگ راهی برای مقابله با جرایم سایبری

سه خصوصیت اصلی که سبب منحصر بفرد شدن کورلاگ در مقابله با جرایم سایبری می شود عبارتند از:

صدور هشدار های آنی

شناسایی حملات پیچیده و هوشمندانه اغلب نیاز به تحلیل قدرتمند چندین رخداد بصورت همزمان (Multi-Event Correlation) دارد. برای هندل کردن حجم بالایی از سناریوهای موجود در امنیت سایبری، کورلاگ (CoreLog) مجموعه ای از هشدارهای آنی را فراهم کرده است که بر روی کل رخدادهای حاصل از تجهیزات مختلف قابل استفاده و صدور هستند. کورلاگ امکان مجتمع شدن با مدیریت ریسک ها و تهدیدات را نیز فراهم می کند. از اینرو کورلاگ دارای سامانه واکنشی قدرتمندی است که می تواند در مقابل هر نوع تهدید و ریسکی واکنش نشان داده و نسبت به صدور هشدار اقدام نماید. با وجود سامانه هشدار دهی در صورتیکه حتی کارشناسان امنیت نیز متوجه تهدیدات نباشند سامانه از وقوع جرم و یا تخطی از سیاستهای سازمانی اطلاع پیدا کرده و آن را اطلاع رسانی آنی می کند.

جمع آوری جامع رخدادها

کورلاگ (CoreLog) قابلیت جمع آوری لاگ های خام و بدون ساختار را از تجهیزات syslog Base وfile-based log source دارد و همچنین می تواند از library های گسترده و عظیمی از Collector ها برای جمع آوری رخدادهای مجزای تولید کننده رخداد بهره ببرد. جمع آوری کلیه رخدادها بدین معنی است که هیچ فعالیتی اعم از مشکوک و غیر مجاز و یا حتی قانونی و مجاز از دید مدیر سیستم پنهان نخواهد ماند و این قدم اولیه در کشف جرایم سایبری محسوب می شود.

بررسی ها و جستجوهای سریع و ساده

کورلاگ (CoreLog) امکان ارائه تحلیل های منحصر بفرد را در تمامی انواع داده ها در یک پلت فرم واحد و از طریق رابط های کاربردی فراهم می کند. بعلاوه کورلاگ قابلیت جستجوهای سریع، گزارش دهی هزاران رخداد در ثانیه و توانایی مدیریت مقدار زیادی از داده ها را در هر ثانیه دارد. بررسی ها و جستجوهای ساده، توانمندی مدیران امنیت را در کشف سریع و دقیق فعالیت های غیر مجاز تسهیل بخشیده و درصد موفقیت جرائم سایبری را بشدت کاهش می دهد.

معماری کورلاگ

همانطور که در بخش های قبلی نیز اشاره شد کورلاگ (CoreLog) یک ساختار ماژولار و توزیع شده دارد. کامپوننت های مختلف در آن هر کدام وظیفه تامین بخشی از قابلیتهای آن را بر عهده دارند.

behinpishro corelog3

لیست کامپوننت های کورلاگ عبارتند از:

  CoreLog Server

  (Data Manager (Recorder

  Collector

  Connector

  Win Agent

  Central Management Console

کامپوننت ها از انتهایی ترین نقطه ارتباطی با تجهیزات شبکه
  • Win Agent
  • Connector
  • Collector
  • Policy Server
  • Recorder
  • Central Management Console

این کامپوننت امکان دریافت کلیه اطلاعات مورد نیاز از سیستمهای ویندوزی را فراهم می کند. با توجه به اینکه در سیستمهای ویندوزی تولید و ذخیره لاگها در بخشی تحت عنوان Event Viewer صورت میگیرد از اینرو برای دسترسی به این لاگها دو راه بیشتر وجود ندارد:راه اول) استفاده از روش WMI: در این روش لازم است که در بازه های زمانی مختلف به Event Viewer سیستم مراجعه نموده و لاگها از داخل آن خوانده شوند. با توجه به تعداد سیستم ها و حجم لاگهای هر سیستم معمولا این زمان، مدت کمی نخواهد بود و از اینرو تاخیر قابل توجهی در کشف اتفاقات داخل سیستمها بوجود خواهد آمد. همچنین به دلیل اینکه مراجعه به سیستم ها در بازه های زمانی اتفاق می افتد، میزان بار ترافیکی شبکه افزایش می یابد. یکی از مشکلات دیگر این روش، عدم امکان مدیریت وقایع داخل سیستم است. بعنوان مثال امکان نصب هیچگونه Patch وجود ندارد.راه دوم) در این روش از یک ایجنت ویندوزی به منظور دریافت لاگها از Event Viewer و ارسال آن به کورلاگ (CoreLog) استفاده می شود. با توجه به حضور ایجنت در سیستم عملا ارسال لاگها به شکل on Demand انجام می پذیرد و از این جهت هم بار ترافیکی شبکه توزیع شده و هم اینکه امکان هرگونه مدیریت مورد نیاز در داخل سیستم فراهم می شود. این مدیریت اعم از نصب بسته های مورد نیاز یا حتی تغییر در پیکربندی لاگهای دریافتی است. بنابراین روش دریافت لاگ (Log) در سیستم های ویندوزی بصورت استفاده از Win Agent است. لازم بذکر است که ایجنت مذکور توسط تیم تولید شرکت بهین راهکار تولید شده و از همه ویژگیهای مورد نیاز برای رمزنگاری ارتباط، زمانبندی ارسال لاگها، بروزرسانی خودکار ایجنت و سایر ویژگیهای مورد نیاز یک کامپوننت Enterprise برخوردار می باشد.

کانکتور بعنوان ورودی سیستم در شبکه های توزیع شده استفاده می شود. اگر در شبکه ای پیاده سازی کورلاگ (CoreLog) بصورت مرکزی انجام شده و در سایر نقاط شبکه صرفا هدف جمع آوری لاگ ها بوده و مدیریت شبکه از طریق ارسال همه لاگها به مرکز صورت بگیرد، در این حالت نیاز به استفاده از کانکتور برای جمع آوری و ارسال لاگها می باشد. کانکتور امکان دریافت لاگ از کلیه سیستم های ویندوزی از طریق ایجنت و نیز از سایر سیستمها از طریق پروتکلهای رایج نظیر syslog و SNMP-Trap را دارد. کانکتور پس از جمع آوری این لاگها، همه آنها را در یک بسته پروتکلی خاصی تحت نام (CLUP (CoreLog Universal Protocol قرار داده و به سرور کورلاگ ارسال می کند.کانکتور فاقد هر گونه سیستم مدیریت محلی بوده و همه کنترلهای لازمه بر روی آن از طریق کورلاگ CoreLogمرکزی انجام می شود.

کالکتور کامپوننتی است که وظیفه آن دریافت لاگ (Log) از کانکتورها یا سیستمهای مختلف (از جمله ایجنتهای ویندزوی و سیستمهایی که لاگهای خود را بصورت syslog ارسال می کنند) است. کالکتور پس از دریافت لاگها، آنها را نرمال سازی کرده و تحویل Policy Server می دهد. کالکتور بخش مهمی از سیستم را تشکیل داده و کلیه پارسرهای سیستمهای مختلف در این کامپوننت قرار دارند. در حال حاضر در Corelog نسل 3 حجم پردازشی قابل پشتیبانی توسط هر کالکتور 5000 رخداد بر ثانیه می باشد. در صورتیکه تعداد رخدادها بیش از این مقدار باشد ضروری است از کالکتورهای موازی استفاده شود.

پالسی سرور در حقیقت مغز پردازشی سیستم می باشد. کلیه لاگهای وارده به سیستم از طریق قوانین از پیش تعریف شده یا مبتنی بر روشهای تشخیص ناهنجاری، در این بخش پردازش شده و آلارمهای مورد نیاز صادر می شوند. این بخش با توجه به معماری مبتنی بر پردازشهای موازی ایجاد شده و همه رخدادهای وارد شده به آن در اختیار سناریوها یا پالسی های مختلف قرار داده شده و خروجی علاوه بر ذخیره در پایگاه داده (به منظور مراجعات بعدی) به شکل داشبورد و گزارش و همچنین صدور هشدار نشان داده می شود.

وظیفه این کامپوننت دریافت لاگها، هشدارها، حوادث و سایر موارد تولیدی توسط سیستمهای تحت پوشش و نیز خود CoreLog و ذخیره آنها در پایگاه داده است. با توجه به حجم بالای IO در سیستمهایی که از EPS زیادی برخوردار هستند توصیه می شود پایگاه داده این کامپوننت بر روی یک SAN قرار داشته باشد.

کامپوننت مدیریت مرکزی، از یک واسط کاربری مبتنی بر وب و نیز یک واسط کاربری خط فرمان در جهت مدیریت متمرکز سیستم تشکیل شده است. کلیه امور مرتبط با تنظیم سامانه و نیز ایجنت های ویندوزی از طریق همین کامپوننت متمرکز انجام می شود.

ماژول های اصلی CoreLog
  • Currensic
  • Forensic
  • Report Management
  • Correlation
  • Incident management
  • Account Management
  • Policy Management
  • Action Center
  • Knowledge DB
  • Vulnerability management
  • Inventory Management
  • Ticketing

در این ماژول تمامی لاگ های سنسورهای مختلف به صورت خام و نرمال شده نمایش داده می شود. از ویژگی مهم این بخش، قدرت جستجو فوق العاده انعطاف پذیر و کامل آن می باشد. کاربر Corelog می تواند بر اساس تمامی Attribute ها (برای مثال Source IP و ....) آنها را دسته بندی کرده و گزارشات و یا Policy مورد نیاز خود را تولید و ذخیره کند. وجود Function ها و Operatorهای بسیار انعطاف پذیر که باعث می شود جستجو شما در زمان پیگیری رخدادها بسیار دقیق و قدرتمند ولی در عین حال ساده باشد از دیگر مزایای این ماژول و سامانه CoreLog می باشد.

زمانی که موضوع جستجو ، پیگیری جرائم یا ردیابی یک عمل مجرمانه که نیاز به جستجو در لاگ های بیش از 2 ماه را داشته باشد از این ماژول استفاده می شود. این ماژول تمام خصوصیات جستجو انعطاف پذیر و کامل ماژول Currensic را دارا می باشد. امکان گزارش گیری از لاگ های سازمان تا چندین ماه و امکان استفاده در مراجع قضایی در زمان پیگیری جرم و هک شدن سیستم از خصوصیات این ماژول و سامانه CoreLog است. امکان استفاده همزمان قابلیت جستجو در دو ماژول Currensic و Forensic به طور همزمان برای کاربر CoreLog نیز فراهم شده است.

امکان ایجاد گزارشات امنیتی و مهم و همچنین در صورت نیاز قابل استناد در مراجع قضایی یک ویژگی مهم برای یک نرم افزار امنیتی به شمار می رود. این ماژول امکان ایجاد ، ویرایش و گزارش گیری بر اساس گزارشات مدیریتی از پیش تعریف شده ، گزارشات به وجود آمده توسط کاربر ، استاندارد ها و Compliance های بین المللی مانند ISO ، PCI DSS و ..... را به کاربر می دهد. همچنین امکان ایجاد داشبوردهای کاربردی به صورت Bar Chart ، Pie Chart ، Trend و .... جدید در کنار داشبوردهای پیش فرض سیستم امکان مانیتورینگ قدرتمند ، انعطاف پذیر و در عین حال ساده را نیز در اختیار کاربر قرار می دهد. امکان نمایش همزمان چندین داشبورد گروپ در چند LCD نیز یکی از پر کاربردترین مزایای سامانه می باشد. هم اکنون امکان مشاهده اتصال USB به سیستم ، بیشترین بازدیدهای اینترنتی کاربران ، امکان ایجاد Black List/White List برای برنامه ها و کاربران ، گزارش بیشترین برنامه های مورد استفاده توسط کاربران سیستم ، بیشترین سیستم های یا آدرس IP هایی که هدف حمله قرار گرفته اند ، بیشترین سیستم ها یا آدرس های IP مهاجم و صدها داشبورد و گزارش پیش فرض دیگر در سامانه CoreLog موجود می باشد.

این ماژول به عنوان مغز متفکر سامانه کورلاگ می باشد که امکان همبستگی سنجی یا Correlation لاگ ها در آن فراهم شده است. در حقیقت سامانه کورلاگ از سه نوع همبستگی سنجی بهره می برد.

  Rule based Correlation

در این نوع همبستگی سنجی(Correlation)، سناریو وقوع یک حمله یا تخطی از سیاستهای سازمانی، بصورت کامل در سیستم تعریف می شود. تمامی رخدادهای وارده به سیستم با این سناریوها مطابقت داده شده و هر نوع تطبیقی بعنوان تحقق سناریو مرتبط با آن نوع حمله یا تخطی گزارش می گردد.از مزایای این نوع همبستگی سنجی، میزان بسیار پائین false positive و یا بعبارت دیگر میزان قابلیت اطمینان بسیار زیاد در تشخیص حملات است.از معایب این نوع همبستگی سنجی می توان به این مورد اشاره نمود که الزاما همه حملات یا تخطی های سازمانی را نمی توان بشکل یک سناریو تعریف نمود. از طرف دیگر افزایش بی رویه تعداد سناریوهای مبتنی بر قواعد، در عملکرد سیستم به لحاظ پردازشی نیز تاثیرات منفی می گذارد.

  Anomaly Correlation

در این نوع همبستگی (Correlation)، تشخیص حملات از طریق ارزیابی رفتار یا عملکرد تجهیزات، سنسورها یا افراد صورت می گیرد. در این روش سیستم نسبت به سنجش و یادگیری رفتارهای نرمال شبکه اقدام نموده و پس از یک دوره یادگیری هر نوع رفتار مغایر با وضعیت مطلوب را گزارش می کند.از مزیت های این روش پویا بودن آن بر اساس رفتار شبکه و عدم نیاز به تدوین سناریوهای از پیش تعریف شده می باشد.از معایب این روش هم می توان به میزان بالاتر false positive نسبت به روش Rule Based اشاره نمود.

بخش Incident Management در حقیقت قسمت مشاهده حوادث گزارش شده توسط سیستم است. همه انواع Correlation های سیستم و نیز بخش Policy Management، رخدادهای مرتبط با حملات کشف شده یا تخطی های صورت گرفته از سیاستهای سازمانی را در این قسمت نمایش می دهند. کاربر سیستم می تواند با عمل Drill Down به اطلاعات بیشتری از رخدادهای صادر شده پی برده و به کشف دلایل آنها بپردازد.

این ماژول یک سیستم بسیار کامل و انعطاف پذیر برای مدیریت کاربران سامانه CoreLog را فراهم نموده است. از ویژگی های این سیستم مدیریت محدود کردن حوزه دید کاربر بر اساس حوزه شبکه ها ، دسته ای از IP ها ، سنسورها ،امکان مدیریت کامل سطح دسترسی کاربران بروی ماژول های سامانه CoreLog ، امکان محدود کردن دسترسی کاربران تنها از IP های خاص داخلی و خارجی شبکه ، و مدیریت زمانی بر اساس سطوح دسترسی های مختلف برای فعالیت یک کاربر را می توان نام برد.

این ماژول یک سیستم بسیار کامل و انعطاف پذیر برای مدیریت کاربران سامانه CoreLog را فراهم نموده است. از ویژگی های این سیستم مدیریت محدود کردن حوزه دید کاربر بر اساس حوزه شبکه ها ، دسته ای از IP ها ، سنسورها ،امکان مدیریت کامل سطح دسترسی کاربران بروی ماژول های سامانه CoreLog ، امکان محدود کردن دسترسی کاربران تنها از IP های خاص داخلی و خارجی شبکه ، و مدیریت زمانی بر اساس سطوح دسترسی های مختلف برای فعالیت یک کاربر را می توان نام برد.

امکان ایجاد هشدار در زمان وقوع رخداد های مشکوک و خطرناک یکی از مهمترین وظایف یک SIEM می باشد. در این ماژول امکان به وجود آوردن و مدیریت هشدارها بر اساس Email ، SMS واجرای Command وجود دارد. همچنین امکان ایجاد و ویرایش Template های آماده برای استفاده در ارسال Email و SMS و ایجاد Command های آماده برای ایجاد عکس العمل در زمان وقوع رخداد های خاص از مزایای این ماژول و سامانه CoreLog می باشد.

این ماژول پایگاه دانش سامانه CoreLog می باشد که در آن تمامی سنسورهای قابل ساپورت توسط سامانه و تمام لاگ های نرمال شده از سنسورهای مختلف به تفکیک نوع لاگ ها وجود دارد. این پایگاه داده قابلیت به روز رسانی در صورت اضافه شدن لاگ ها و یا سنسور های جدید را نیز دارد.

به منظور کشف کلیه آسیب پذیری‌های موجود در تجهیزات سازمان، از یک سامانه مجزا به منظور بررسی و کشف آسیب پذیریها استفاده می شود. ماژول Vulnerability Management موجود در Corelog وظایف زیر را بر عهده دارد:

  برقراری ارتباط با کلیه سامانه های پویش کننده آسیب پذیریهای سازمان

  • ایجاد امکان انجام تنظیمات سامانه‌های ارزیابی آسیب پذیریها با استفاده از کنسول مدیریت CoreLog و بصورت متمرکز

  دریافت نتایج حاصل از پویش آسییب پذیریها

  • امکان تهیه انواع گزارشات از نتایج حاصل از پویش با قابلیت نمایش در کنسول CoreLog

  امکان بکارگیری نتایج حاصل از پویش در کلیه سناریوها و پالسی ها

در این ماژول در صورت اضافه کردن به بخش مانیتورینگ تمامی اطلاعات سخت افزاری و نرم افزاری سیستم ها قابل رویت است. از جمله این اطلاعات سخت افزاری می توان به مشخصات کامل CPU ، Ram، Hard Disk، کارت شبکه، ... و از جمله اطلاعات نرم افزاری نیز می توان به نسخه سیستم عامل ، برنامه های نصب شده روی هر سیستم ، سرویس ها و پروسس های فعال و غیر فعل سیستم ، لیست کامل کاربران و گروه های تعریف شده روی هر سیستم اشاره کرد. همچنین داشبوردهای آماری این ماژول اطلاع بسیار کامل و مفیدی از دارایی های سازمان ها به مدیران سازمان ارائه می دهد. همان طور که می دانیم در سازمان های بزرگ مدیریت دارایی ها یا Assets از وظایف مهم و در عین حال مشکل برای مدیران سازمان است. با امکان گزارش گیری از هرگونه تغییر در سیستم ها و هشدار آنی آن به مدیران سیستم، سامانه CoreLog پاسخ سریع ، دقیق و در عین حال ساده به این نیاز مهم مدیران را فراهم کرده است.

سامانه CoreLog از طریق یک ماژول داخلی امکان تولید، تخصیص، پیگیری و گزارش دهی به کاربران سامانه در خصوص حوادث بروز کرده را می دهد. این سامانه از طریق یک گردش کار این امکان را ایجاد می کند که رسیدگی به حوادث در داخل مرکز عملیات امنیت یا بخش امنیت سازمان به راحتی قابل انجام باشد.علاوه بر این، CoreLog قابلیت اتصال به سامانه های تیکتینگ خارجی برای ارسال تیکت را نیز دارا می باشد.

لایسنسینگ کورلاگ

لایسنس بکارگیری سامانه کورلاگ مبتنی بر تعداد و نوع سنسورهای تولید کننده لاگ و میزان EPS تولیدی در شبکه سازمان است. جدول زیر این لایسنسها را برای کارفرما نمایش می دهد.

ردیف    عنوان تعداد پایه   تعداد کل
 1   CoreLog Enterprise 3 Base System    
 2   Collector ………….. eps (peak)    
 3      Sensors  Security    
 4  Network    
 5  Servers    
 6  Services    
 7  Clients    

در این روش کلیه تجهیزات تولید کننده کارفرما در پنج دسته بندی قرار می گیرند که هر کدام وزن متفاوتی در محاسبه هزینه لایسنس سازمان ایفا می کنند. همچنین میزان eps در تعیین تعداد کالکتورها و نیز معماری شبکه در تعیین تعداد سیستمهای base تاثیر گذار می باشند. علاوه بر موارد فوق در صورت تهیه ابزارهای جانبی نظیر:

  شهپاد

  سامانه تشخیص نفوذ (IDS)

  سامانه ارزیابی آسیب پذیریها (Vulnerability Assessment)

  سامانه Core Inventory

هزینه هر کدام بصورت مجزا محاسبه می شود.

ویژگی های کورلاگ
  • مدیریت رخدادها
  • واسط کاربری کارا (User Interface)
  • گزارشات و داشبوردهای فنی و مدیریتی
  • مدیریت حوادث
  • کشف آسیب پذیری ها و رفتارهای نامتعارف
  • همبستگی سنجی
  • مدیریت اموال
  • مدیریت امنیت در ویندوز
  • مدیریت کورلاگ
  • راه اندازی SOC
  • مدیریت سامانه
  • بکارگیری در شبکه شهپاد

  توانایی دریافت رخداد ها از بیش از 100 نوع سنسور مختلف

  پشتیبانی از پروتکل های مختلف نظیر SNMP - Trap ، SYSLOG و پروتکل های خاص نظیر Oracle و SQL Server

  دارای Agent اختصاصی ویندوز برای ارسال رخدادها بصورت آنی

  بیش از 1500 فیلد مختلف برای جستجوی رخدادها

  امکان تعریف فیلترهای مختلف جهت دریافت لاگ های مورد نیاز و حذف لاگهای نامرتبط

  فشرده سازی و رمزنگاری در هنگام ارسال اطلاعات بین ماژولهای مختلف سامانه

  حفظ محرمانگی و صحت در هنگام ارسال اطلاعات بین ماژولهای مختلف سامانه

  امکان افزودن هر نوع برنامه یا تجهیز جدید با توانمندی تولید لاگ به سامانه

  قابلیت دریافت و آنالیز ترافیک NetFlow

  امکان ایجاد Query های پویا

  امکان مدیریت زمان و حجم نگهداری کلیه رخداد ها

  نگهداری داده های نرمال شده وخام به مدت مورد نیاز سازمان

  امکان آرشیو و نگهداری لاگها بصورت فشرده و برای مدت نامحدود با توجه به فضای ذخیره سازی

   واسط کاربری مبتنی بر وب

  امکان مدیریت کاربران و ایجاد کاربران جدید

   دارای نقشهای از پیش تعریف شده برای کاربران خاص

  امکان تعیین محدوده دسترسی برای کاربران سازمان بر اساس دانش و مسئولیتهای کارشناسان

  امکان ایجاد درجات مختلف دسترسی به سامانه و تعیین محدوده زمانی و مکانی دسترسی

  راهبری آسان جهت ساخت فیلترها و گزارشات و سناریوهای مورد نیاز سازمان

  مدیریت متمرکز کلیه ماژولهای سامانه از طریق واسط کاربری یکپارچه

  وجود واسط کاربری CLI برای انجام تنظیمات ادمین و عیب یابی سامانه

  دارای بیش از 1000 نوع گزارش فنی و مدیریتی و داشبودهای آماده

  امکان گزارش گیری از رویدادها و حملات به تفکیک

  قابلیت گزارش گیری از وضعیت امنیتی سازمان

  امکان ایجاد گزارشات و داشبورد های جدید توسط کاربر

  نمایش داشبورد ها بصورت آنلاین و آماری (ساعتی، روزانه، هفتگی و ماهانه)

  امکان زمان بندی اجرا، ذخیره سازی و ارسال گزارشات از طریق ایمیل

  امکان تبدیل گزارشات به فرمت PDF و Excel

   امکان ایجاد Ticket درصورت وقوع یک حادثه

  امکان صدور هشدار بصورت ایمیل، پیامک و هشدار صوتی

  امکان تعریف قالب های هشدار جهت تسهیل در مدیریت حوادث

  امکان صدور هشدار ها نسبت به سطح ریسک حوادث

   امکان ارسال هشدارها و یا اعمال دستورات بصورت تکی یا گروهی

   امکان ایجاد هشدارهای جدید بر اساس قوانین دورن سازمانی

   امکان محاسبه ریسک سازمان برای رخداد ها

  دارای ماژول ارزیابی آسیب پذیری های سازمان

  کشف و گزارش رخدادهای نشانگر وجود آسیب پذیری در سیستم ها

  کشف و گزارش کلیه رفتارهای نامتعارف در سازمان

  امکان اتصال به سامانه کشف و مقابله با نفوذ (IDS / IPS / Vulnerability Management)

  ارائه راهکارهای عملی برای رفع کلیه آسیب پذیریهای کشف شده

  بروزرسانی منظم پایگاه دانش آسیب پذیریها

  پشتیبانی از انواع Correlation شامل : Anomaly Correlation ,Vulnerability Correlation و Rule Based Correlation

  دارای بیش از 100 سناریو از پیش تعریف شده با توجه به نیازمندی های سازمان مشتری

  امکان ایجاد سناریوهای تعریف شده توسط کاربر

  امکان اولویت بندی سناریو ها بر اساس سطح ریسک دارایی ها

  بازه زمانی نامحدود در تعریف سناریو ها

  امکان تعریف سناریو با ترکیب های مختلفی ازRule ها

  امکان تعریف سیاست های سازمانی بر اساس شیفت های کاری

  امکان نمايش کليه رخدادهاي مرتبط با حوادٍث و حملات کشف شده

  داراي Policy Server به منظور اعمال سياستهاي سازمانی

  دارای پایگاه دانش با بیش از صدهزار event type برای شناسایی لاگها

  دارای پایگاه دانش با بیش از صدهزار event type برای شناسایی لاگها (Logs)

  امکان شناسایی تجهيزات سازمان از طريق SNMP or ICMP Discovery

  امکان اولويت بندي دارايي ها بر اساس اهميت و یا سطح ریسک

  امکان ايجاد خودکار شناسنامه دارايي هاي سازمان شامل سخت افزارها، نرم افزارها و کاربران

  گزارش هرگونه تغییر در دارایی های سازمان ( تغییرات سخت افزاری و نرم افزاری )

  امکان تعریف Blacklist و White List برای نرم افزارها در سازمان

  امکان نصب وصله های نرم افزاری سیستم عامل ویندوز

  دارای Agent اختصاصی و بسیار کم حجم برای سیستم عامل های ویندوزی

  قابلیت کارکرد در شبکه های Domain و Workgroup

  امکان دریافت رخدادهای امنیتی از تمامی سرویس های ویندوزی

  امکان تشخیص اتصال تجهیزات جانبی از طریق درگاه USB

  امکان پایش دسترسی ها و فعالیت های انجام گرفته بر روی فایل ها و فولدرها

  امکان بافر کردن رخداد ها در صورت قطعی شبکه

  سیستم عامل سفارشی شده مبتنی بر لینوکس

  امکان تهیه نسخه پشتیبان از پیکربندی سامانه و بازیابی آن

  امکان تهیه پالسی ها و سناریوهای مورد نیاز برای استفاده در SOC

  دارای معماری توزیع شده با امکان پشتیبانی از تعداد نامحدود تجهیزات و رخداد

  بروز رسانی بصورت آنلاین و آفلاین

  امکان پیاده سازی کلیه دستورالعمل های مدیریت حوادث مرتبط با SOC

  امکان ایجاد داشبوردها و گزارشات نظارتی مورد نیاز در SOC

  دارای بیش از 100.000 EPS تست شده در محیط عملیاتی

  امکان مستندسازی کلیه حوادث در جهت انجام Forensic در SOC

  امکان دریافت یا ارسال رخداد به سایر سامانه های SOC

  امکان بکارگیری در سطوح مختلف کاربران SOC

  سیستم عامل سفارشی شده مبتنی بر لینوکس

  امکان تهیه نسخه پشتیبان از پیکربندی سامانه و بازیابی آن

  دارای بیش از 400.000 EPS تست شده در محیط عملیاتی

  دارای معماری توزیع شده با امکان پشتیبانی از تعداد نامحدود تجهیزات و رخداد

  بروز رسانی از طریق انتقال به وب سایت شرکت یا بصورت آفلاین

  اطلاع رسانی خودکار تهدیدات و بدافزارهای کشف شده به تمامی سازمان های متصل به شبکه گسترده شهپاد

  به اشتراک گذاری دانش موجود در سامانه جهت تصمیم گیری بهتر مدیران

  استفاده از بهترین راهکار های به اشتراک گذاشته شده در واکنش خودکار به حوادث

  ایجاد آمادگی در مقابل حوادث رخداد در سایر سازمان ها

  یکسان سازی و بروز رسانی مشخصات حوادث امنیتی با پایگاه های اطلاع رسانی امنیتی موجود در کشور

  تعامل با سامانه های امنیتی بومی در کشور

سنسورهای قابل پشتیبانی بصورت پیش فرض

سامانه بومی کورلاگ، بصورت پیش فرض از طیف گسترده ای از تجهیزات و سیستمهای مختلف برای دریافت لاگ پشتیبانی می کند. در جدول زیر به برخی از وندورها و سنسورهای قابل پشتیبانی اشاره شده است.

NO   Sensor name Brand   Sensor name Brand 
1  ACE   Cisco  JunOS  Juniper
2  AIX   IBM  Kaspersky  Kaspersky
3  TrendMicro Antivirus Manager  TrendMicro  Kerio UTM  Kerio
4  Apache Tomcat  Apache  Linux DHCP  Generic
5  APC  APC  Mail Security  Websense
6  ArubaOS WLAN Controller  Aruba  Meru Wireless Solution  Meru
7  ASA  Cisco  Mikrotik RouterOS  Mikrotik
8  Aventail VPN  Sonicwall  Mobility XE  NetMotion
9  BIND DNS  ISC  MySQL  MySQL AB
10  Call Manager  Cisco  Nagios Server  Nagios
11  Cisco CSA Management Center  Cisco  NetFlow  Cisco
12  Cisco MDS  Cisco  NeXpose Security Scanner  Rapid7
13  Cisco Secure ACS  Cisco  Nod32  ESET
14  CoreLog  BehinRahkar  Oracle  Oracle
15  Corelog Agent  BehinRahkar  OS400  IBM
16  CoreLog HIDS Agent  BehinRahkar  PAN-OS  Palo Alto
17  Core View  BehinRahkar  ParsGate  AmnAfzar Co.
18  Cyberoam UTM  Sophos  PIX  Cisco
19  DataONTAP  NetApp  PostgreSQL  Postgres
20  DB2  IBM  PPTP-L2TP VPN  Microsoft
21  DSGate  Douran  QualysGuard Scanner  Qualys
22  Endpoint Protection Service  Symantec  Secure Access  Juniper
23  ePolicy Orchestrator  McAfee  Security Gateway  Astaro
24  ESX Server  VMware  Security Scanner  Nessus
25  Exchange Operational  Microsoft  Sendmail Mail Server  Sendmail.org
26  Exchange Server Microsoft SGOS Web Proxy Blue Coat
27  Extremeware  Extreme  Sidewinder Firewall  McAfee
28  Firebox  WatchGuard  Snort IPS  Snort-org
29  FireWall-1  Checkpoint  Solaris  Sun
30  FortiOS  Fortinet  SolarX  Pars Fannavaran-e Kharazm
31  FortiWeb  Fortinet  SonicOS  Sonicwall
32  Frc Automation  Frc  Sophos Endpoint Control  Sophos
33  Free Radius  Generic  Spam Firewall  Barracuda
34  FWSM  Cisco  SQL Server  Microsoft
35  Generic  Generic  Squid Web Proxy  Squid-cache-org
36  DHCP  Generic  SRX JunOS  Juniper
37  HP Procurve  HP  SSG ScreenOS  Juniper
38  HPSanStorageP2000  HP  Steel-Belted RADIUS  Juniper
39  IAS  Microsoft  Suite360 Scanner  nCircle
40  IceWarp Mail Server  Ice Warp  TippingPoint UnityOne IPS  3Com
41  IDF  TrendMicro  Unix/Linux  Generic
42  IIS  Microsoft  Untangle Security Gateway  Untangle
43  IOS  Cisco  VPN 3K  Cisco
44  IPS  Cisco  VRP  Huawei
45  Iptables Firewall  Generic  Web Security  Websense
46  IP-VC Gateway  Radvision  DHCP  Microsoft
47  Ironware  Foundry  DNS  Microsoft
48  ISA Server  Microsoft  Windows  Microsoft
49  JEE App Server  Generic  WLAN Controller  Cisco
50  Juniper IDP  Juniper  Zenith ARCA  Zenith Infotech
گزارشات و داشبوردهای پیش فرض

کورلاگ یک سامانه بسیار غنی از بعد گزارشات و داشبوردهای پیش فرض به منظور استفاده ادمین های مراکز عملیات امنیت و کارشناسان امنیت می باشد. با توجه به وجود 1500 گزارش و داشبورد ذکر عناوین همه آنها در این مستند امکان پذیر نبوده و از این رو به تعدادی از آنها اشاره می شود. باید توجه داشت که در کورلاگ داشبوردها از گزارشات می توانند ساخته شوند از این رو عناوین زیر عناوین مشترک داشبورد و گزارش می باشند:

No Report/Dashboard Title Description
1  All Cisco Command  This report track all command that entered on cisco networking device
2  All Deny Traffic By Firewall  This report Track all Deny traffic that block by firewall
3  All Permit Traffic By Firewall  This report Track all Permit traffic by firewall
4  All receive events by severity and count  This report track all events receive group by severity and count
5  Cisco Duplexing mismatch  A mismatch Duplexing detected on your network (such as one side full duplex and other side half duplex)
6  Cisco Remote Failed Admin Login  A Remote User (with every Privilege) Failed Login.
7  Cisco Remote Successful Admin Login  A User (with every Privilege) Successfully Login.
8  Database Change Details  Track any change on database servers (SQL Server , Oracle , ...)
9  Domain Users , Computers or Groups Name Changed  Domain user , group or computer name change on Active Directory
10  Failed Database Server Logon Details  Captures failed database server logons
11  Failed Firewall Admin Logon Details  Details about failed firewall logons
12  Failed Login at Any Device  Captures detailed successful logins at any device or application including servers, network devices, domain controllers, VPN gateways, WLAN controllers and applications
13  Failed Network Admin Logon Details  Details about failed router logons
14  Failed Windows Domain Authentications  This record capture all domain fail login
15  Firewall Config Changes Detected Via Login  This report captures detected startup or running config changes - the changes are detected by logging into the device and hence is accurate.
16  Global Windows Groups Created  This report captures global group creations
17  Global Windows Groups Deleted  This report captures global group deletions
18  Global Windows Groups Modified  This report captures global group modifications
19  Local Windows Groups Created  This report captures local group creations
20  Local Windows Groups Deleted  This report captures local group This report captures local group deletions
21  Local Windows Groups Modified  This report captures local group Modification.
22  Local Windows User Account Changed  Track all change on local windows user accounts
23  Local Windows User Account Created  This report capture all local windows user account Creation
24  Local Windows User Account Deleted  This report capture local windows user account delectation.
25  Local Windows User Account Disable  Track local windows user account disabled
26  Local Windows User Account Enable  This report captures local windows user account enable .
27  Local Windows User/Group Name Changed  A windows User/Group name changed.
28  Microsoft DHCP Scope Created  A scope on Microsoft DHCP server created
29  Microsoft DHCP Scope Deleted  A scope from Microsoft DHCP server deleted.
30  Microsoft DHCP Exclusion IP Address Range Added  IP address exclusion range add on Microsoft DHCP
31  Microsoft DHCP Exclusion IP Address Range Deleted  IP address exclusion range delete from Microsoft DHCP
32  Microsoft DHCP Reserve IP Address Added  A reserve IP address added on Microsoft DHCP
33  Microsoft DHCP Reserve IP Address Delete  A reserve IP address on Microsoft DHCP deleted
34  Microsoft DHCP Service Started  Microsoft DHCP Service Started
35  Microsoft DHCP Service Stopped  Microsoft DHCP service has Stopped
36  Microsoft DNS Record Created  A record on your Microsoft DNS Created.
37  Microsoft DNS Records Deleted  A record deleted from Microsoft DNS
38  Microsoft DNS Records Modified  A record modified on Microsoft DNS
39  Microsoft DNS Service Started  Microsoft DNS service has started.
40  Microsoft DNS Service Stopped  Microsoft DNS service has stopped.
41  Microsoft DNS Zone Created  A zone on Microsoft DNS server Created
42  Microsoft DNS Zone Deleted  A zone deleted from Microsoft DNS Zones
43  Microsoft Domain Group Policy Objects Created  This report lists all of the created GPOs.
44  Microsoft Domain Group Policy Objects Deleted  This report lists all the deleted GPOs
45  Microsoft Domain Group Policy Objects Modified  This report lists all of the modified GPOs.
46  Microsoft Domain Organization Units Created  A user create a Organization Unit on Domain Controller.
47  Microsoft Domain Organization Units Deleted  A user delete a Organization Unit on Domain Controller
48  Microsoft Domain Organization Units Modified  A user modify a Organization Unit on Domain Controller.
49  Network Device Down/Restart  Tracks network device down and restart events
50  Network Device Interface Down/Up  Tracks network device interface down and up events
51  Phishing attempt found and remediated  Captures events that indicate phishing attempt
52  Privileged Windows Server Logon Attempts using the   Administrator Account  This report details privileged logon attempts to a windows server using the Administrator account
53  Remote Desktop Connections to Windows Servers  Windows RDP Logins to windows Server
54  Server Down/Restart  Tracks server down and restart events
55  Spyware found but not remediated by Host Antivirus  List of all Spyware that detect by Antivirus but not clean yet
56  Successful Database Server Logon Details  Captures successful database server logons
57  Successful Firewall Admin Logon Details  Details about successful firewall logons
58  Successful Login at Any Device  Captures detailed successful logins at any device or application including servers, network devices, domain controllers, VPN gateways, WLAN controllers and applications
59  Successful Windows Domain Authentications  This report track all successful login on your domain
60  Successful Network Device Admin Logon Details  Details about successful router logons
61  Top Antivirus and Security Gateways with Virus Found  Tracks IP addresses with Malware as found by Host Anti-virus and Security Gateways
62  Top Blocked Internal Destinations By Count  Ranks blocked Internal Destinations, Services Ranked By Connection Count
63  Top Blocked Internal Sources By Count  Ranks blocked Internal Sources, Services, Destinations Ranked By Connection Count
64  Top Database Events By Severity , Count  List of top events from Database sensor such as SQL, Oracle, ....
65  Top Filtered Inbound Spam By Count  Counts total inbound spam denied by spam filtering policy
66  Top Filtered Outbound Spam By Count  Counts total outbound spam denied by policy
67  Top Firewalls and Denied Inbound Traffic By Count  Ranks firewalls and permitted inbound services by first the total number of connections and then by bytes for that service
68  Top Firewalls and Denied Outbound Traffic By Count  Ranks firewalls and permitted outbound services by first the total number of connections and then by bytes for that service
69  Top Firewalls and Permitted Inbound Traffic By Count  Ranks firewalls and permitted inbound services by first the total number of connections and then by bytes for that service
70  Top Firewalls and Permitted Outbound Traffic By Count  Ranks firewalls and permitted outbound services by first the total number of connections and then by bytes for that service
71  Top Hosts Infected By Virus  List top hosts infected by virus detected by anti-virus
72  Top Mail Server Events By Severity , Count  Top events receive from Mail server Sensor such as Exchange
73  Top Network Attacks Detected By Count  Ranks the network attacks blocked by network IPS
74  Top Network Device Events By Severity , Count  List all events occurred on your network device by severity and count
75  Top Network IPS events By Severity, Count  Ranks the network IPS events by count
76  Unix/Linux Server Privileged Command Execution  This report details privilege command executions (sudo) at a Unix server
 77   Unix/Linux Server Privileged Logon  This report details UNIX server privileged logon (su) details with all parsed parameters and raw logs
78  Unix User Password Changed  Tracks password changes
79  Unix Users Added To Group  Tracks user additions to groups
80  Users Added to Windows Distribution Group  This report lists added members to security groups.
81  Users Added to Windows Local Groups  This report captures users added to local groups.
82  Users Added to Windows Security Group  This report lists added members to security groups.
83  Users Deleted from Distribution Windows User Groups  This report lists all removed members from distribution groups.
84  Users Deleted From Global Windows User Groups  This report captures users deleted from global or universal groups.
85  Users Deleted From Local Windows Users Groups  This report captures users deleted from local groups.
86  Users Deleted From Security Windows Users Groups  This report lists all removed members from security groups.
87  Virus Detected Details  All details about virus that detected by anti virus
88  Windows Distribution Groups Created  This reports shows all the created distribution groups.
89  Windows Distribution Groups Deleted  This reports shows all the deleted distribution groups.
90  Windows File Permission Modified  This report list all the file with modified permissions.
91  Windows Files/Folders Created  This report lists all the created files and folders.
92  Windows Files/Folders Deleted Or Moved  This report list all the deleted or moved files in servers. Use Source IP to limit the result.
93  Windows Files Modified  This report list all of the Modified files in servers. Use Source IP to limit the result.
94  Windows Firewall Reset to Default Setting  Windows firewall service reset to default setting
95  Windows Firewall Rule Deleted  A rule deleted from windows firewall service.
96  Windows Firewall Service has been Stopped  This report capture Windows Firewall Service has been Stopped
97  Windows Firewall Service has Started  Windows Firewall service has Started
98  Windows Security Groups Created  This reports shows all the created security groups.
99 Windows Security Groups Deleted  This reports shows all the deleted security groups