LOG YÖNET M N NDE AJANLI VE AJANSIZ YÖNTEMLER N KAR ILA TIRILAMSI

Dr. Ertu rul AKBA

Kelimeler: Bilgi Güvenli i, Log Yönetimi, Log Analizi, Kurumlarda Log Yönetiminin
Gereklili i, 5651 Say l Yasa, Log Yönetimi, Log Normalle tirme, SIEM,SYSLOG,SNMP,Ajanl ve Ajans z Log Toplama

Log yönetimi sistemlerinin nihai hedefi güvenlik analizini otomatik olarak yapabilecek sistemi kurmakt r. Bu sistemi kurarken loglar n analiz edilecek merkezi yönerim sistemine aktar m nda 2 farkl yöntem kullan lar y y Ajanl Sistemler Ajans z Sistemler

Bu iki sistem aras nda temel olarak yönetim kolayl , sistem kaynaklar n n kullan m ,kurulan sistemin esnekli i konular nda temel farkl l klar mevcuttur.

Yukar da Gartner 2011 raporunda yans t lan ürünler görülmektedir.Leader segmentindeki Archsight ,Q1labs, RSA, Symantec, Loglogic, NitroSecurity ve Novell ya %100 ya da büyük oranda java ile geli tirilmi ve ajan kullanmayan çözümlerdir. A a da ajanl sistemlerle ajans z sistemleri kar la t ran iki farkl tablo göreceksiniz.

Temel log analizi fonksiyonu mu?

Ek i lemci ve cpu kullan m gerekiyor mu? Evet

Ek trafik yükü getiriyor mu?

USB, PrintScreen, Hacker aktiviteleri A ba lant s olmad nda veya log sistemi hizmet veremiyorken olu an olaylar biriktirme ve sonra gönderme Gürültü olaylar n kayna nda filtreleme

Hay r

Evet

Gartner raporunun liderler sekmesindeki herhangi bir ürün taraf ndan kullan lan bir teknoloji mi? Hay r

Akademik olarak daha iyi bir yöntem oldu u rapor edilmi mi? Hay r

Güvenlik zaafiyeti olu tur mu? Hay r

Evet

Evet

Hay r

Hay r

Hay r

Hay r

Hay r

Evet

Hay r

Hay r

Hay r

Evet[1]

Tablo:Ajanl sistemlerin temel log analizi fonksiyonlar aç s ndan analizi

Ajanl Gürültü olaylar kayna nda filtreleme Evet

Ajans z Hay r

Aç klama Loglar n filtrelenmemesi gerekti i ile ilgili Los Alamos National Laboratory de yap lm ve daha sonra NSA da kullan lm veriler var [1]*. Ajanlar yönetmek için de ekstra trafik olu aca için ajanl sistem daha çok trafik üretir. Ajans z sistemler de bu özelli i sa layabilir. Örnek: Windows i letim sisteminde loglar dosya boyutuna veya zaman göre biriktirme ve saklama özelli i mevcut. Ajans z sistemler de bu özelli i sa layabilir. Örnek: Windows i letim sisteminde FileSystem ve Registry i uzaktan okumak mümkün.

Yarataca

network trafi i

Çok Evet

Az Evet

A ba lant s olmad nda veya log sistemi hizmet veremiyorken olu an olaylar biriktirme ve sonra gönderme

Log kay tlar d ndaki olaylar yakalayabilme (USB, PrintScreen, Hacker aktiviteleri, Registry, FileSystem, v.s.) Sisteme getirece i yük Uygulama kurma gereksinimi Sistemde aç lmas gereken portlar yüzünden güvenlik aç Yönetim Zorlu u Geni leme Esnekli i

Evet

K smen

Çok Var Yok Çok Yok

Yok Yok Yok Yok Çok Kolay Ajanl sistemin de merkezle konu mak için port açmaya ihitiyac var. Özellikle büyük sistemlerde ajan yönetimi ciddi bir i yükü getirmektedir. Ajanl sistemde her eklenen yeni sisteme ajan kurulmas zorunlulu u var

Tablo:Ajanl ve Ajans z sistemlerin kar la t rmas

Sonuç
Yukar daki kar la t rma tablosuna girmeyen ama ajanl sistemleri kurup yönetenlerin dikkat etmesi gereken baz ufak noktalar da mevcuttur.Mesela ajanlar n herhangi bir yöntemle kapat lmas durumu ve ajanlar n lokal makinede açabilece i sorunlardan dolay helpdesk ekibindeki i yükü art ve kurulduklar her makinede olu mas ihtimali olan yava latma senaryolar gibi.. Ayr ca ajanlar n merkezi yönetiminin a a yapaca hesaplanmas gerekir. ekstra trafik yükünün çok çok iyi

Di er bir husus ise er networke geni aç dan overview yaparsan z ortaya ç kacak bir maaliyet hesaplamas konusudur. Ajanl bir sistemde toplam i lem gücünün iyimser bir yakla ma %10 nunu bu ajanl sisteme teslim etme keyfiyetidir. Örnek bir hesaplama yap l rsa 1000 cihazl k bir a da e er ajanlar %10 CPU kullan rsa 100 makineyi de bu ajanl sisteme tahsis etmi gibi olursunuz. Proje maaliyetlerine bunlar n kat lmas da isabetli olur.E er ajan kayda de er RAM kullan yorsa benzer hesaplama onun için de yap labilir. Ayr ca yine sistein maaliyet analizinde -Olas yönetim zorluklar n -Ne kadar donan m yat r m yap ld ? -Ne kadar Veritaban lisans yat r m yap ld ? -Ne kadar extra destek yükü gerekti inin hesab n da yapmal d r. Ayr ca, büyük a larda ajanl sistem beni ne kadar üreticiye yada yetkili çözüm orta na muhtaç ediyor? Üreticiye yada yetkili çözüm orta olmadan da ben bu sistemi ya atabiliyor muyum? diye fizibilite analizi ve hesab yap lmal d r. Fizibilite analizinin temel oldu u özel sektörün bu parametreleri göz ard etmeleri beklenemez. Benzer yap n n di er sektörlerde de var olmas gerekti i de a ikard r. Son olarak da belirtmek laz m ki özellikle enterprise sistemlerde log yönetimi çözümü seçiminde önemli pek çok parametre vard r. En az ndan bir tanesinden bahsederek konuyu kapatmak istiyorum.Bu da ürünün korelasyon yetene i[13]. A a da özelliklerini sayd m korelasyon özellikleri iyi bir ürünün olmazsa olmazlar ndand r. y y y y Haf zada Korelasyon Yapabilme Tek Kaynak Korelasyon Kurallar Çoklu Kaynak Korelasyon Kurallar Negatif Condition Kurallar

y y y y y y y

Context Base Korelasyon Hiyerar ik Korelasyon Esnek kural olu turma yap s -Kural dili Rule Base ComplexEventProcessing ForwardChaning BackwardChaining

Kaynakça
[1] Dr. Ben Uphoff,[http://people.msoe.edu/~uphoff/ [2] ArielRabkinandRandyKatz.,Chukwa: A SystemforReliableLarge-ScaleLog Collection. At LISA 2010, the USENIX conference on Large Installation System Administration. San Jose CA, November 2010 [3] http://chuvakin.blogspot.com/2011/07/top-10-criteria-for-siem.html [4] www.loglogic.com [5] www.novell.com [6] http://www.novell.com/promo/slm/slm25.html [7] www.q1labs.com/products [8] http://www.trigeo.com/ [9] http://www.tenable.com/products/tenable-log-correlation-engine [10] http://www.arcsight.com/products/ [11] www.symantec.com/business/security-information-manager [12] www.java.com