Miért van szükség korrelációs logelemzésre?

  • Szeretné, ha informatikával támogatott üzleti folyamatai a lehetséges maximális rendelkezésre állással működnének?
  • Meg szeretné előzni a váratlan rendszerleállásokat, az informatikai katasztrófákat?
  • Szeretné mérni az informatika teljesítményét, az informatikai beruházások megtérülését, az informatikai szolgáltatások megfelelőségét?
  • Szeretné, ha a „küszöb alatt” a rendszerbe bejutott kártékony programok létére mielőbb fény derülne?
  • Szeretné, ha a betörési próbálkozásokra azonnal tudna reagálni?Valószínűleg minden vezető igennel válaszolna a fenti kérdésekre. De mindegyik tudja, hogy hol keresse a megoldást.

A log- és eseményelemzés az informatikai rendszerben zajló folyamatokat, eseményeket figyeli, összefüggéseket elemzi, majd az eredményekről jelentéseket állít elő, illetve megoldási javaslatokat tesz. A klasszikus logelemzés problémája, hogy a naplókban nem rögzített események nem kerülnek rögzítésre és így feldolgozásra sem, így az információhiány miatt sok incidens nem deríthető fel. A log- és eseményelemzés forrásadatait a naplófájlokon túl a behatolás-detektáló, (IDS/IPS), adatbázis és alkalmazás-audit rendszereken keresztül a rendszermonitoring-eszközök szolgáltatják, lehetővé téve ezzel a jelentősen pontosabb és átfogóbb elemzést és incidens-menedzsmentet. Ezen rendszerek által generált események sorozatát figyeljük, hasonlítjuk össze ugyanabban az időablakban. Amennyiben az események összehasonlítása közben kirívó incidensre bukkanunk, elemezzük, kiértékeljük azt, majd az eredményt jelentésbe foglaljuk.

Hatékony, központosított hibakeresés és feltárás
Komplex alkalmazások működtetésénél a hálózati, rendszer- ill. alkalmazás-üzemeltetés valamint a fejlesztés gyakran részinformációk alapján hoz meg olyan döntéseket, melyek a többi terület működésére is kihatnak. A központosított, valós-idejű napló- és eseménygyűjtés nemcsak megkönnyíti a hibakeresést, de meggyorsítja a feltárást és hibaelhárítást is. Az üzemeltetésre fordított költségek lényegesen csökkenthetőek a központilag feldolgozott és azonnal hozzáférhető események segítségével.

Törvényi, iparági megfelelés
A banki, pénzügyi, egészségügyi valamint ipari szektorra jellemző a folyamatos külső és belső kontroll. Az átlátható informatikai működés nemcsak az időszakos külső és belső auditokon való megfelelés feltétele, hanem a hosszú távú hatékony üzleti működés alapkövetelménye. A törvényi és jogi követelmények szerteágazóak, így a megfelelés is többféleképpen történhet. A személyre szabott naplóelemzés segítségével folyamatosan monitorozható az IT működése, a széleskörű szabványi támogatottság (SOX, PCI DSS, HIPAA, FISMA, NERC CIP) segítségével pedig szinten tarthatóak a megfeleléshez szükséges feltételek és mérsékelhetőek a kockázatok.

Átfogó rendszerfelügyelet
A heterogén forrásokból, az informatikai rendszerekből összegyűjtött különböző adatok, riasztások és információk segítségével észlelhetőek és ellenőrizhetőek a rendszerben bekövetkezett kisebb és nagyobb változások, elősegítve a pontos és hatékony változás-menedzsmentet.

Vizualizáció
A vizuálisan megjelenített adatok feldolgozása az emberi agy számára is lényegesen könnyebb, a beérkező nyers adatok grafikonon való megjelenítése jelentősen gyorsítja és könnyíti a megértést, elősegítve ezzel a problémára adandó válaszlépések felgyorsítását.

Adminisztrátorok felügyelete
A legnehezebben ellenőrizhető terület az adminisztrátorok tevékenysége, hiszen korlátlan jogosultságokkal rendelkeznek, és megfelelő felügyelet nélkül gyakorlatilag bármihez kontroll nélkül férnek hozzá. Az ő tevékenységük felügyelete, auditálása kiemelt fontosságú a legtöbb szervezet számára, de megvalósítása komoly technológiai felkészültséget igényel, és gyakran komoly ellenállásba ütközik.

Kiemelt felhasználók felügyelete
A vállalatok kiemelt kulcsfelhasználói hozzáférnek a kritikus fájlokhoz, kimutatásokhoz és erőforrásokhoz. Ezen erőforrásokhoz történő hozzáférés és az azokon végrehajtott változtatások részletes nyomon követése, valamint az események láncszerű összefűzése megfelelő kontroll és technológia nélkül nem lehetséges.

A biztonság növelése
Egy incidens feltárásakor, vizsgálatakor elengedhetetlenül szükséges a lehető legrövidebb idő alatt a lehető legtöbb részinformáció összegyűjtése. Számos alkalommal utólag derül ki, hogy a vonatkozó információk nincsenek meg, vagy hiányosak, ellehetetlenítve ezzel a feltárást, és felderítetlenül hagyva az incidenst.

Váratlan események észlelése és felderítése
A hálózatunkon történő események jelentős része nem az üzemszerű működést szolgálja, sőt sok esetben kifejezetten akadályozza azt. Az “amiről nem tudunk, az nem fáj” típusú megközelítés sajnos ebben az esetben kifejezetten káros, hiszen központosított monitoring funkciók nélkül könnyen rejtve maradhatnak előlünk vírusaktivitásra utaló események, nem kívánt felhasználói forgalmak, weboldalunkat vagy kritikus üzleti alkalmazásainkat célzó szándékos támadások, melyek komoly üzleti károkat okozhatnak.

A fenti problémákkal szinte minden üzleti döntéshozó szembesül egy váratlan leállás, elhúzódó hibaelhárítás, ellenőrző audit vagy egy esetleges személyzeti változás kapcsán. A központi naplómenedzsment rendszer bevezetésével a fentieken túl számos egyéb probléma is megelőzhető, vagy orvosolható, ezért vált a modern informatikai rendszerek elengedhetetlen kellékévé.

Üzenet

Várjuk üzenetét!

Az alábbi elérhetőségeken várjuk kérdéseit, észrevételeit:
+36 1 424 6666
kurt@kurt.hu