Security Monitor and Auditing & Event Management Franco Rasello Angelo Bianchi [email protected] [email protected] Integra Spa IT Security: Le componenti fondamentali Authentication Authorization Administration AUDIT InSight La Sicurezza: un processo continuativo Improve Auditing: monitoring and recording Audit Event Alerts Logs Status Troppi sistemi e report diversi Reports Reports Reports Reports Reports Reports Reports Problematiche del monitor della sicurezza 1 – Distribuzione geografica Leggere i log di sistema e delle applicazioni (capacità di comprendere linguaggi diversi) 2 – Autorizzazioni 3 - Interpretazione Collegarsi ai sistemi interessati con privilegi di amministratore (diffusione di login e password di utenti amministratori) Correlare i diversi eventi provenienti da diversi sistemi (lavoro di investigazione e correlazione su di una mole enorme di dati) Lavoro difficilmente delegabile a personale non specializzato Impegno dei migliori sistemisti 4 - Dimensioni 5 - Correlazione La Soluzione – InSight Security Manager InSight Security Manager soluzione per gestione centralizzata log di sicurezza unico linguaggio di interpretazione log filtri sui log (w7) Operating Systems Intrusion Detection Systems Firewall Business Applications Anti Virus Software supporto multipiattaforma evidenzia automaticamente le violazioni alla security policy Repository su DB relazionale InSight /Monitoring Archivio Data Base Real Time data Archivio Off-line Data Collection CEO Management Actuator CeA Server (SNMP Traps) Real Time Mail Alerts Reports Remote Web based •Failure •Exception •Attention IT Department Audit Department Security Officer Architettura modulare InSight Server InSight Server 1 InSight Server 2 …. Consolidation Server Viste statistiche InSight Server 3 semplice Un esempio complesso GEM DB CeA/iView CeA/Consolidation Server CeA/iView CeA/Management Console GEM DB GEM DB CeA/Server CeA/Server CeA/Management Console CeA/Management Console CeA/Actuator CeA/Actuator CeA/Actuator Generazione di allarmi (real time monitoring) Critical Event Notification Severity based, Event based Alerts E-mail Notification of Reports Alcune delle piattaforme supportate Management Console, Server, iView Windows NT/2000 Actuator IBM OS/390, z/OS, OS/400 Microsoft Windows NT/2000 AIX SUN Solaris HP-UX Compaq Tandem Safeguard OPICS Linux (Red Hat) ISS TrendMicro Cisco Check Point BIM Microsoft IIS Apache Sap R3 Microsoft Exchange Lotus Notes Netegrity SiteMinder iPlanet Citrix Oracle Sap R/3 ISS Realsecure, ISS Internet Scanner, ISS System Scanner User Applications InSight Management Console System Management InSight Management Console DB Management InSight/IView – Analisi immediata tramite una vista generale Il Sommario degli Eventi Il dettaglio del singolo evento Le violazioni alle policies Attention Summary La reportistica Definizione delle Audit Policies Benefici InSight Event Manager • Eventi di Sicurezza multi-piattaforme correlati e normalizzati • Minimizza i rischi legati alla sicurezza • Riduce i costi e aumenta l’efficienza • Rafforza ed accresce le Security Policy • Protegge i beni aziendali GRAZIE!!! Franco Rasello Angelo Bianchi Integra Spa [email protected] [email protected]
Scarica
