it ist kein glücksspiel! -...
TRANSCRIPT
IT ist kein Glücksspiel!
mit TIBCO LogLogic verborgene
Informationen nutzen
© DICOS GmbH Kommunikationssysteme
22.10.2015 © DICOS GmbH Kommunikationssysteme 2
Quelle Wikimedia/Holger Weinandt
Freundliche Grüße aus Koblenz
Unser Geschäft ist das Glücksspiel. Da wir es uns in
der IT nicht leisten können, auf Glück zu vertrauen,
verlassen wir uns auf das Logmanagement von TIBCO
LogLogic und die Unterstützung von DICOS.
Jetzt haben wir endlich den richtigen Einblick in unsere
Daten, unterstützen das Troubleshooting, erstellen
Reports und der Nachweis unsrer Compliance ist
deutlich einfacher geworden!
Marleen Masur von Lotto Rheinland Pfalz
22.10.2015 © DICOS GmbH Kommunikationssysteme 3
Wer ist DICOS?
Spezialisten für alle Themen rund um Infrastruktur-, Systems-, Netzwerk-, Logmanagement
Langjährige Erfahrung im Consulting und der Softwareentwicklung
Als TIBCO Partner in Deutschland seit fünf Jahren auf LogLogic fokussiert
22.10.2015 © DICOS GmbH Kommunikationssysteme 4
TIBCO LogLogic
Was ist TIBCO LogLogic?
LogLogic schafft die Verbindung zwischen den Maschinendaten und deren geschäftlichen Wert
Was ist der Nutzen?
LogLogic findet die kritischen Information, die in
großen Datenmengen versteckt liegen und
versetzt den Anwender in die Lage, darauf schnell
zu reagieren.
© Copyright 2000-2014 TIBCO Software Inc.
22.10.2015 © DICOS GmbH Kommunikationssysteme 5
Zufällig entstandene
Punkt-zu-Punkt-Architektur
Service Level
Assurance Compliance Security
Business Activity
IT Operations
Cloud
© Copyright 2000-2014 TIBCO Software Inc.
22.10.2015 © DICOS GmbH Kommunikationssysteme 6
Können Sie auf der Basis
einer solchen Architektur …
• wissen, ob die Rohdaten unverändert erhalten bleiben?
• sagen, welche Daten wo überhaupt gespeichert sind?
• herausfinden, wie verschiedene Ereignisse aus
unterschiedlichen Quellen zusammen hängen?
• sagen, was vor einem Jahr passiert ist?
• durch jedes beliebige Ereignis bzw. Kombination von
Ereignissen einen Alarm auslösen?
• automatisch Reports für jede Abteilung erzeugen?
• Angriffe sofort erkennen und ggf. vorhersagen?
• zentral nach einem Ereignis unternehmensweit suchen?
22.10.2015 © DICOS GmbH Kommunikationssysteme 7
Die Alternative:
Operations Intelligence Plattform
Cloud
Cloud
© Copyright 2000-2014 TIBCO Software Inc.
Service Level Assurance Compliance Security
Business Activity IT Operations
22.10.2015 © DICOS GmbH Kommunikationssysteme 8
Der Nutzen
22.10.2015 © DICOS GmbH Kommunikationssysteme 9
Wie LogLogic funktioniert
• Enterprise-Class-Skalierbarkeit , Sicherheit,
leistungsstarke Sammlung, Übertragung und Speicherung
Logging-System wird zum “Hub”, in dem alle
Logs gesammelt und gespeichert werden
Logs werden identifiziert und gefiltert
Relevante Logs werden gesammelt,
normalisiert und den Abnehmern zur
Verfügung gestellt:
• Flexible Suche
• Audit/Compliance-systeme
• Graphische Darstellung, Visualisation
• Forensic und Troubleshooting
Geschäftskritische Logs werden langfristig
gespeichert. Andere nur Tage oder wenige
Wochen lang. © Copyright 2000-2014 TIBCO Software Inc.
22.10.2015 © DICOS GmbH Kommunikationssysteme 10
Normalisierung
• May 2 23:06:14 app-1 login[5130]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=tty1 ruser= rhost= user=timothy
• "<13>Feb 5 08:34:55 10.92.2.188 MSWinEventLog 0 Security 106236353 Fri Feb 05 08:33:15 2010 529 Security SYSTEM User Failure Audit OHAEPHQDC009 Logon/Logoff Logon Failure: Reason: Unknown user name or bad password User Name: timothy Domain: Logon Type: 3 Logon Process: CISCO Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Workstation Name: CISCO Caller User Name: portal Caller Domain: CORP Caller Logon ID: (0x0,0x63194519) Caller Process ID: 2972 Transited Services: - Source Network Address: - Source Port: - 1679136992"
• Jun 11 10:51:04 10.0.0.244 Jun 11 10: 51:42 1,06/11 10:51:42,0001a100200,TRAFFIC,start,24,06/11 10:51:15,10.0.0.101,10.0.0.246,0.0.0.0,0.0.0.0,timothy,,,dns,vsys1,l2-lan-trust,l2-lan-untrust,ethernet1/12,ethernet1/11,Forward to Timothy,06/11 10:51:42,2074963,1,54604,53,0,0,0x0,udp,allow,80,80,80,1,06/11 10:51:16,0,any,0
Source Type
User User Name
SRC User
Unix timothy
Windows timothy
Firewall timothy
Source Type User
Unix timothy
Windows timothy
Firewall timothy
• Unix • Windows • Firewall
© Copyright 2000-2014 TIBCO Software Inc.
22.10.2015 © DICOS GmbH Kommunikationssysteme 11
Korrelation
• über alle Logsources
• aktuelle und historische Daten
• Erkennung von Fehlern, Trends und Angriffen
Failed login
Failed login Failed login
Failed login
Aggregation
Viele
“failed
login”
Versuche
Erfolgsreiches
Login Aggregation Erfolgsreiches
Login
Admin
Aufgaben Aggregation
Privilegierte
Aktionen
Entdeckter
Angriff!
22.10.2015 © DICOS GmbH Kommunikationssysteme 12
Anwendungsfälle
IT Betriebsmanagement
• System Usage & Uptime-
Analyse
• Applikationsbetrieb,
Development &
Deployment Change
Control
• Applikations- und
Netzwerk- Performance
Monitoring
• Troubleshooting
Betriebsanalyse
• Kontinuierlicher Betrieb &
Optimierung
• Asset Integrity
• Voraussetzung
Überwachung
• Ursachenanalyse von
Ausfällen
• Fehlerprognose /
Zuverlässigkeitsanalyse
von Anlagen
Business Activity
Monitoring
• Track & Trace
• Business Process
Monitoring & Analyse
• Website & On-Line
Leistung
• Sensor-Überwachung,
Analyse, & Optimierung
Anwendungen
• Strategie- und IT-Planung
• Sicherheit und
Cyberthreat- Analyse
• Risk Management
• Security und Network
Operations Centers
• Analytics
© Copyright 2000-2014 TIBCO Software Inc.
22.10.2015 © DICOS GmbH Kommunikationssysteme 13
LogLogic bei den Lottogesellschaften
• 3 deutsche Lottogesellschaften setzen Logmanagement
von TIBCO LogLogic ein
• Alle sind nach WLA zertifiziert (World Lotto Association)
• Alle haben besondere Anforderungen an die IT-Security
• Alle sind ein interessantes Ziel für Angreifer
22.10.2015 © DICOS GmbH Kommunikationssysteme 14
Herausforderungen
• Weder zentrales noch
vollständiges Logging
• Keine automatische Auswertung
der Log-Daten möglich
• Aufwändige Fehlersuche
• WLA Compliance einhalten und
nachweisen
22.10.2015 © DICOS GmbH Kommunikationssysteme 15
WLA-Compliance
• Branchen-Spezifische Erweiterung der ISO 27001
• Schreibt u.a. vor:
• Logging für den Nachweis von: Aktivitäten der Nutzer,
Sicherheitsvorfällen, Sonderfällen, etc.
• Schutz der Logdaten vor Zugriff und Veränderung
• Logging von Fehlern, damit Gegenmaßnamen ergriffen werden
können
22.10.2015 © DICOS GmbH Kommunikationssysteme 16
• unterstützt das Troubleshooting
durch Suchen und Reports
• Unterstützt ihre WLA-Compliance
mit der ISO Compliance Suite
• Erkennt Angriffe und ermöglicht
Reaktionen, bevor ein Schaden
entsteht
TIBCO LogLogic bei
Lotto Rheinland-Pfalz
22.10.2015 © DICOS GmbH Kommunikationssysteme 17
Mit TIBCO LogLogic
• Speichern Sie Rohdaten langfristig revisionssicher
• Alle Daten liegen in einem zentralen System
• Finden Sie mit Cross Device Correlation
Zusammenhänge zwischen den Ereignissen
• Können Sie alle Ereignisse jederzeit schnell finden
• Alarmieren Sie jedes wichtige Ereignis
• Erzeugen Sie automatisch Reports für jede Abteilung,
Anwendung, Audits
• Erkennen Sie Angriffe, bevor sie Schaden anrichten
• Haben Sie den unternehmensweiten Überblick
22.10.2015 © DICOS GmbH Kommunikationssysteme 18
Skalierbarkeit
• Für den kleinen Mittelstand bis zum Großunternehmen
mit vielen Standorten weltweit
• Virtuelle Appliance oder Hardware Appliances
• Funktionale Skalierung:
• Logmanagement Intelligence für z.B. Datensammlung,
Indizierung, Suche, Reports, Alarmierung, einfache Korrelation,
Compliance, Darstellung
• Unity für z.B. Cross-Device Korrelation, Anreicherung, komplexe
Suchen,
• Visual Analytics für Dynamische Reports, dynamische und
flexible Darstellung
22.10.2015 © DICOS GmbH Kommunikationssysteme 19
TIBCO LogLogic Referenzen
© Copyright 2000-2014 TIBCO Software Inc.
Und was können wir für Sie tun?
© DICOS GmbH Kommunikationssysteme
Michael Troitzsch
Kirsten Kunz
www.dicos.de