Funkcionalitás
A SeConical appliance funkcionalitását tekintve 4 fő részből áll:
Naplóelemző modul
Naplóbejegyzések gyűjtését és feldolgozását végző szoftverrendszer, mely automatikus elemzést követően, hetente riportot készít az elmúlt hét biztonsági eseményeiről. A rendszeresen egy sablon szerint elkészülő jelentések az eredmények egyszeri előállítása helyett, azok folyamatos aktualitásának fenntartására és karbantartására helyezik a hangsúlyt.
A riportok átvizsgálása során fény derülhet az informatikai rendszerben történt incidensekre, adminisztratív és logikai, biztonsági anomáliákra, valamint olyan folyamatokra, melyek jelenleg még nem okoznak, de a jövőben problémát okozhatnak. Incidens esetén a szakértők további manuális logelemzést is végezhetnek az appliance-ben, az okok és problémák mélyebb felderítése céljából.
A heti jelentéseken kívül, a vezetők számára havonta készül egy átfogó riport az elmúlt hónap eseményeiről. Ez kumulálva és trendelemzésre alkalmas módon szemlélteti a szervezet informatikai infrastruktúrájában végbemenő biztonsági folyamatok változásait.
Naplóelemzés folyamata:
A rendszer bármilyen gépi generálású adatsort tud fogadni. Jelenleg szabályrendszer a Windows és linux rendszerekre létezik, valamint a hálózati eszközökre vonatkozó fejlesztés folyamatban van. Az adatok gyűjtése az adatforrásokról a szerverekre telepített agent-ek segítségével titkosított csatornán keresztül történik.
Ezután a begyűjtött adatok normalizálása következik a definiált szabályok alapján. Itt történik az értékes információk megkeresése és kiemelése az adattömegből olyan módon, hogy azokat utána újra és újra fel lehessen használni. Olyan szabályokat, algoritmusokat hoztunk létre, amik rendkívül gyorsan elvégzik a fontos információk folyó szövegből az általunk kialakított sablon táblázatokba történő rendezését.
A következő lépés a számosság alapú súlyozás. Minél többször fordul elő egy fontosnak ítélt esemény, annál nagyobb prioritást kap. Ezáltal lehetséges a heat map készítés, mely ábrázolja az átlagoshoz, azaz az alapzajhoz képest a kiugróan kevés vagy sok eseményt, ezáltal a problémás esetek azonosítását könnyíti meg. Így előállnak a statisztikák, melyekből épülnek fel a jelentések.
Ezután készül el a heti riport az elmúlt hét biztonsági eseményeiről, mely grafikonokkal, táblázatokkal, valamint intelligens magyarázatokkal segíti az olvasót az értelmezésben. A riportok átvizsgálása során fény derülhet az informatikai rendszerben történt incidensekre, valamint olyan folyamatokra, melyek jelenleg még nem okoznak, de a jövőben problémát okozhatnak.
A riportra azonban nem kell egy hetet várni. Ha sürgősen szükségünk van az információkra például egy potenciális incidens esetén, akkor az Ad-hoc riport egy kattintással a hét bármely napján előállítható az adott időpillanatig.
Naplótároló modul
A nyers és normalizált logokat is eltárolja, így biztosítva a bizonyító erejű adatok rendelkezésre állását, valamint a forensic vizsgálatok elvégzésének lehetőségét is.
A nyers naplóinformációk tárolásának célja, hogy egy incidens utáni nyomozás, vagy audit esetén az időpecsétnek és titkosításnak köszönhetően bizonyító erővel rendelkezzünk egy audit vagy nyomozás esetén. A log sorokban is találhatók időpontok, de azok hamisíthatók.
Emellett a normalizált logok tárolásának köszönhetően manuálisan mély szintű elemzés végrehajtására is lehetőséget biztosít a rendszer. A normalizált logokban nagyon gyorsan lehet keresni a Hadoop klaszterben létrehozott Impala adatbázismotor köré épített BigData technológiának köszönhetően. Akár több szempont, vagy szabályrendszer szerint is, mivel a szabályszerkesztő segítségével egyedi szabályok készíthetők. A rendszerhez akár BI eszközökkel is lehet kapcsolódni SQL utasításokkal, így lehetőség nyílik a lekérdezések eredményeinek grafikus megjelenítésére, melyek rendkívül megkönnyítik azok értelmezését.
Forensic vizsgálat
A logelemző motorban és az archivált állományokban is lehet Forensic vizsgálatot végezni attól függően, hogy milyen régi eseményekkel kapcsolatban nyomozunk. Célja, hogy egy gyanús esemény vagy már bizonyított incidens okait felderítsük, legyen szó akár külső támadásról vagy egy adminisztrátor kártékony tevékenységéről.
A vizsgálat a heti jelentésekben található grafikonok átvizsgálásával kezdődik, majd az ott látható anomáliák és azok alapján leszűkített területen a jelentés csatolmányaiként szereplő excel táblázatokban lehet tovább nyomozni. Így már jó eséllyel látszódik a konkrét probléma, de annak okai még nem ismertek. Eddig a pontig logelemzési szaktudás nélkül is el lehet jutni, egyedül a jelentésben található információk közötti összefüggések meglátása és azok értelmezése szükséges. A következő lépés a normalizált adatokban történő keresés, mely történhet a logelemző vagy logtároló modulban is. Lényegét tekintve nincs eltérés a kettő között. Különböző SQL query-k, lekérdezések megírásával és futtatásával van lehetőség az információk kinyerésére, majd esetleges vizualizálására is. A forensic vizsgálat ezen szakaszában már a részletes információk és konkrét okok, felelősök meghatározása történik meg. Ezután a nyomozás utolsó lépése a kinyert információk összefoglalása és a felelős vezetők felé történő átadása, mely lépést is megkönnyíti a rendszerhez kapcsolható BI eszközökkel elérhető vizualizációs képesség.
Monitoring modul
Segítségével valós idejű riasztásokat vagy akár jövőbecslést is elő tudunk állítani a neurális hálóra épülő mesterséges intelligencia segítségével.
A jelentések címzettje minden hétfőn kap logelemzési riportot, mely értelemszerűen a biztonsági események bekövetkezése után készül el. Az intelligens monitorozás ezt az utólagos vizsgálatot egészíti ki a valós idejű riasztó képességgel, mely incidensek esetén azonnali figyelmeztetést küld az üzemeltetésnek.
A Machine Talk kommunikációval tud a SeConical a vele összekötött rendszerekkel kapcsolatba lépni. Ennek segítségével lehetőség van naplófájlokban nehezen megtalálható információk kinyerésére. A valós idejű riasztó képességen felül, a neurális hálóval megvalósított mesterséges intelligencia felhasználásával akár egy még be nem következett problémát is jelezni tud a rendszer. Így a működésbe proaktív módon be tudunk avatkozni.
A fő funkcionális blokkokon kívül még számos kiegészítő funkció teszi teljessé a szoftverrendszert.
Szabályszerkesztő modul
A modullal lehetőséget biztosítunk a SeConical logelemzési funkciójának használatához elengedhetetlen naplófájl normalizálás folyamatlépés, – azaz a gépi előállítású szövegsorok elemzéséhez szükséges adatbázis felépítése – során alkalmazott szabályok létrehozására. Így akár ügyfeleink is létrehozhatnak szabályokat ezen a felhasználóbarát felületen.
Ez a feladat csak úgy teljesíthető, ha a SeConical normalizáló modulját a különböző naplófájlok formátumának megfelelő szabályleírókkal vezéreljük. Ezen szabályok (rule-ok) kötött szemantikával és szintaktikával rendelkező saját fejlesztésű szabály-nyelven íródott szövegfájlok.
A szabályszerkesztő funkcióit 3 csoportra oszthatjuk: Szövegszerkesztő, Navigáció, Debugger.
ETL modul
Ez a modul tetszőleges input adatok feldolgozására alkalmas. Különböző típusú adatforrásokból input adatokat képes átalakítani és betölteni a szoftverbe azáltal, hogy szabadon módosítható a konfiguráció. Lehetnek ezek CMDB vagy logelemzés adatok, IT erőforrások vagy incidensek is.
A kommunikáció fileshare-n keresztül történik XML vagy CSV formátumban. A feladatok ütemezésére lehetőség van a felületen keresztül.
Biztonság tudatosság menedzsment modul
Segítségével mérhető egy vállalat felhasználóinak biztonság tudatossági szintje, egyaránt kezelhetők a képzések és vizsgák. Készítettünk egy kérdéseket, követelményeket tartalmazó tudásbázist az ügyfeleink számára az IT biztonsági iparágban eltöltött 30 éves tapasztalatainkból annak érdekében, hogy ezzel valós tartalmat adjunk át, ne csak egy keretrendszert. Ez tudásbázis szabadon bővíthető és módosítható, valamint teszt csomagokat lehet létrehozni belőle a felmérésekhez. Ezek eredményei alapján megállapíthatók hiányosságok, melyekhez javító intézkedések fogalmazhatók meg, ezekhez felelősök rendelhetők és követhető a megvalósulásuk.