قابلیت های سامانه بومی مدیریت رخدادها و اطلاعات امنیتی (CoreLog)

 

  Pluggable Product

قطعاً هیچ محصول نرم افزاری در گام اول پاسخگوی تمامی نیازهای مشتریان نیست. اینکه بتوان تمامی نیازمندی های مشتری را از طریق طرح های تحقیقاتی و بررسی های قبل از تولید شناسایی نمود، عملا امکان پذیر نیست. راهکار پیش رو برای این منظور، ایجاد قابلیت توسعه در محصول بدون تغییر در زیرساخت آن می باشد. زیر ساخت مبتنی بر پلاگین در کورلاگ نسل 4، این امکان را به برنامه نویسان می دهد تا بدون نیاز به تغییر در کلیات سامانه، قابلیت های جدید را بر اساس نیاز بازار در هر زمان توسعه داده، در Market Place بهین راهکار قرار داده و از عواید حاصل از فروش آن بهره مند شوند. مشتریان نیز مطمئن خواهند بود که برای دریافت ویژگی های خاص مورد نیاز خود، الزاما نیازمند شرکت بهین راهکار نیستند.

 pluggable
 behinpishro.behinrahkar bigdata
  Big Data Support

بر کسی پوشیده نیست که سامانه های SIEM با توجه به میزان زیاد داده هایی که در بلند مدت نگهداری می کنند، نوعی سامانه مدیریت داده های عظیم محسوب می شوند. امکان ذخیره سازی رخداد (روزانه حدود 20 ترابایت) و همزمان ایجاد قابلیت هایی برای جستجوی سریع آنها از چالش های اساسی این حوزه از محصولات بشمار می آید. سامانه کورلاگ نسل 4 از یک دیتابیس بهینه شده با نام CoreDB که از نوع NoSQL می باشد، پشتیبانی می کند. این دیتابیس که بخش اعظمی از آن توسط تیم تولید شرکت بهین راهکار بهینه سازی شده است، قابلیت های زیر را ارائه می دهد.

  • قابلیت ذخیره سازی اطلاعات برای مدت طولانی (10 سال)
  • قابلیت فشرده سازی اطلاعات
  • قابلیت پیکربندی کلاستر به منظور افزایش Performance و Fault Tolerance
  • قابلیت ذخیره سازی رخدادها با حجم 20 ترابایت در روز
  • قابلیت جستجوی سریع رخدادها بر اساس نیاز کاربر
  Distributed Topology

جمع آوری رخدادها در در شبکه های بزرگ و پیچیده که از قوانین خاصی پیروی می کنند به سادگی امکان پذیر نیست. علاوه بر آن نیاز به قابلیت های HA و FT در زیرساخت سامانه های بزرگ یکی از پیشنیازهای اجرایی است که باید در معماری سامانه به آنها پرداخته شود. از این رو سامانه کورلاگ نسل 4 از یک زیرساخت مدیریت همبندی ( Topology Management) پیشرفته به منظور کنترل و مانیتورینگ تمامی اجزا سامانه جهت حصول اطمینان از جمع آوری همه رخدادها از تمامی نقاط شبکه، بدون از دست رفتن داده ها استفاده می کند. این نوع معماری امکان انتقال داده ها را با نرخ بیش از 400 هزار رخداد در ثانیه امکان پذیر می سازد.

 distributed
 filtering
  Filtering in Source

امکان حذف و جلوگیری از ورود و ذخیره رخدادهایی که ارزش بررسی ندارند یکی از قابلیت های ویژه در سامانه کورلاگ نسل 4 می باشد. Filtering in Source این امکان را به مدیران امنیت می دهد که تا قبل از ورود داده های بی کیفیت به توپورلوژی کورلاگ، نسبت به حذف آنها در مبدا اقدام نماید. این قابلیت موجب افزایش کارایی در ماژول های بالادستی و کاهش فضای ذخیره سازی می گردد.

  Aggregating in Source

بسیاری از رخدادهای با اهمیت، ارزش بررسی موردی ندارند و ارزش آنها بر اساس تعداد آنها مشخص می شود. قابلیت Aggregating in Source این امکان را به مدیران امنیت می دهد تا علاوه بر ایجاد داده های با ارزش در مبدا با کاهش نرخ داده ها، موجب افزایش کارایی در ماژول های بالا دستی گردد.

 aggregating
 Parsing
  Parsing in Source

این ویژگی یکی از مهمترین قابلیت های سامانه کورلاگ در نسل 4 آن می باشد. این قابلیت پیشرفته که امکان تغییر پارسر نرمال کننده رخدادها را بصورت آنلاین و بدون از دست دادن رخدادها در مبدا امکان پذیر می سازد، علاوه بر افزایش کارایی سامانه کورلاگ برای پردازش 40 هزار رخداد در ثانیه به ازای هر نود، سبب می گردد قابلیت های Aggregation in Source و Filtering in Source نیز برای تمامی اتریبیوت ها در مبدا امکان پذیر باشد.

  High EPS Rate Supported

افزایش سرعت دریافت، پردازش و ذخیره سازی رخدادها از مهمترین چالش های همه سامانه های SIEM می باشد. در کورلاگ نسل 4 این موضوع بواسطه بکارگیری معماری توزیع شده ماژول های پردازنده، پیاده سازی یک سیستم Message Broker بهینه، استفاده از پایگاه داده CoreDB و سایر بهبودهای صورت گرفته، تا سطح 400 هزار رخداد در ثانیه افزایش یافته است. البته افزایش بیش از این میزان بواسطه Scalable بودن سامانه و با افزایش نودهای پردازشی و ذخیره سازی نیز امکان پذیر خواهد بود.

 behinpishro behinrahkar High EPS Rate Supported
 behinpishro behinrahkar Full CLI Supported
  Full CLI Supported

قطعاً وجود یک خط فرمان قدرتمند که بتوان از طریق آن تمامی نیازهای پیکربندی و مانیتورینگی سامانه را انجام داد از ایده آل های کارشناسان حرفه ای می باشد. ذخیره پیکربندی های بهینه در یک فایل متنی برای استفاه در آینده، اجرای دسته ای دستورات به منظور پیکربندی سامانه، به اشتراک گذاری پیکربندی ها و سادگی و سرعت عملیات پیکربندی بعنوان بخشی از مزایای رابط خط فرمان، سبب می گردد جذابیت زیادی برای کارشناسان حرفه ای ایجاد شود. سامانه کورلاگ 4 از یک خط فرمان پیشرفته که شامل تمامی دستورات مورد نیاز پیکربندی با قابلیت Auto Complete می باشد، پشتیبانی می کند.

  API Supported

سامانه های SIEM بدون یکپارچگی با دیگر ابزارهای موجود در شبکه عملا امکان فعالیت ندارند. دسترسی به انواع منابع لاگ از طریق روش های مختلف Pull و Push بعنوان بخش کوچکی از یکپارچگی می باشد. در سامانه کورلاگ نسل 3 این نوع یکپارچگی به بلوغ مناسبی رسیده است. اما کورلاگ نسل 4، پا را از این فراتر گذاشته و بر اساس معماری API First ایجاد شده است. معماری مذکور این قابلیت را به برنامه نویسان می دهد تا علاوه بر برقراری ارتباط با ابزارهای دیگر از داخل سامانه کورلاگ، از طریق ابزارها و سامانه های دیگر نیز به قابلیت های کورلاگ دسترسی داشته باشند.

 api Supported
 self healing
  Self-healing

یکی از مهمترین ویژگی های پیاده سازی شده در سامانه کورلاگ 4، امکان Self-healing در آن است. این قابلیت امکان ”خود اصلاحی” تمامی قسمت های سامانه را در صورت بروز هر گونه مشکل فراهم ساخته و از کار افتادن سامانه و یا از دست رفتن رخدادها را به حداقل می رساند. از جمله روش هایی که در این فناوری ها مورد استفاده قرار می گیرند فناوری های FT و HA هستند. سامانه کورلاگ 4، در تمامی ماژول های خود از امکان HA و FT بهره گرفته و از این رو قابلیت اطمینان سامانه به میزان زیادی افزایش می یابد.

  Distributed Data Enrichment

غنی سازی رخدادها یک نیاز اولیه در سامانه های SIEM به منظور انجام عملیات Correlation است. قابلیت منحصر بفرد Distributed Data Enrichment در نسل 4 سامانه کورلاگ این امکان را به مدیران امنیت می دهد تا در هر جای توپولوژی سامانه کورلاگ (از مبدا تا قبل از ذخیره سازی) مقادیر داده ای را در رخدادها، غنی سازی نمایند. این قابلیت علاوه بر امکان سطح بندی غنی سازی، موجبات افزایش کارایی را فراهم می سازد.

 distibuted