Infraskope Server ve Özellikleri - Gais Security- Gais Siber Güvenlik Teknolojileri

Infraskope Server ve Özellikleri

Infraskope Server, tamamı yerli yazılımcılardan oluşan bir takım tarafından tasarlanmış, sistemlerde oluşan güvenlik kayıtlarını toplayan ve bunları anlamlı-eş zamanlı uyarılar haline getirebilen aynı zamanda 5651 – Internet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ile uyumlu en detaylı bilgi elde etmemize yarayan yüzde yüz yerli yazılımdır. Bir SIEM uygulaması olarak Infraskop; Dizüstü, masaüstü, çeşitli işletim sistemlerine sahip sunucuların (Windows, Unix, Linux vb.), ağ cihazlarının, uygulama sunucularının, güvenlik duvarlarının ve diğer tüm sistemler tarafından oluşturulan günlük kayıtların merkezi olarak toplayabilmenizi ve bu kayıtlardan gerçek zamanlı uyarı alabilmenizi sağlar. Infraskope bir SIEM ürünün tüm fonksiyonlarını içerdiği gibi, kurumunuzda bulunan SIEM ürününün etkinliğini arttırmak için de kullanılabilir.  

 

     

Şekil 1:İnfraskop Çalışma Prensibi

Neden Infraskope kullanmalısınız sorusuna verilecek cevaplar ise çok geniş. Güvenlik denetimlerini kolaylaştırması, bir olay gerçekleşmeden önce o olaya bağlı gerçekleşebilecek diğer durumların tespiti(proaktif müdahale), adli soruşturmalarda verilere hızlı ulaşım imkanı gibi kurumlar ve şirketler için geniş yelpazede hizmetler sunmaktadır.

 

Şekil 2: Tüm gerçekleşen olayları renkli görseller kullanarak hazırlanan Dashboard

 

Infraskope bu alanda yazılmış diğer uygulamalardan ayıran bir çok özelliği bulunmaktadır. Kayıt altına alınmayan yani işletim sistemi tarafından raporlanmayan(USB cihazlara kopyalanan dosyalar, sistem yöneticilerinin kullanıcı bilgisayarlarına erişim kayıtları ve benzeri) olayları Infraskop Agent sayesinde takip eder ve kayıt altına alır. Bir diğer özelliği ise hem Infraskop Server’ın hem de kullanıcıların bilgisayarlarından veri toplamaya yarayan Agent’ın kolayca kurulması ve bir kaç saat içinde veri toplanamaya hazır hale gelmesidir.

Bunun yanında uzun süredir birçok firma ve kurum tarafından kullanılmakta olan Infraskop, kurumların tecrübelerinden elde ettiği iyileştirmeleri, yeni tehdit, uyarı ve raporları sürekli olarak  ürüne dahil ederek güncel hizmet sunmaktadır.

Infraskope Server ile veri merkezinizdeki diğer ürünlerin kayıtlarını da toplayabilirsiniz. Linux işletim sistemleri, ağ cihazları, veritabanları ve uygulama sunucularınızda oluşan olayları da Infraskope ile kolayca takip altına alabilirsiniz.Infraskope ajanları tarafından toplanan detaylı yazılım ve donanım envanteri sayesinde kurumunuzdaki tüm yazılımlar ve donanımlar hakkında bilgi sahibi olabilir, donanım ve yazılım güncellemelerinizi bu bilgilere dayanarak planlayabilirsiniz. Böylece kullanıcı bilgisayarlarınızda meydana gelebilecek arızaların (disk bozulması vb.) önceden bildirilmesi sağlanmış olur.

 

Şekil 3:İstatistik Ekranı

Infraskop’un en önemli özelliklerinden biri de gelen alarmları birbiriyle ilişkilendirip, correlatıon sağlayabiliyor olmasıdır. Kritik olaylar gerçekleştiğinde, SMS, email, uygulama çalıştırma, görsel gibi değişik yöntemlerle sistemi izleyenleri bilgilendirip uyarma özelliği de mevcuttur.

Bunların yanısıra, Infraskop Apptracker ile uygulama kullanımı ve sürelerinin takibi, güvenlik duvarını kullanmadan (cep telefonu, kurumsal olmayan bir kablosuz erişim noktası vb.) yapılan internet bağlantı (http/https) adreslerinin takibi ve bilgisayarın ne kadar süre kullanılmadığının (inactivity) takibi yapılabilir.

 

 

Şekil 4: Infraskop Elementleri

 

Infraskop ile işletim sistemi olay kayıtları tarafından kaydedilen bir çok olay anlamlandırılabilir. Etkileşimli olarak kullanılmaması gereken servis hesaplarınızın başka amaçlar için kullanılıp kullanılmadığının tespiti, tüm sunucularda gerçekleşen başarılı / başarısız oturum açma işlemleri, kullanıcı hesaplarında yapılan işlemleri (şifre sıfırlama, kullanıcı yaratma, silme vb.), grup hesaplarında yapılan işlemler (yeni grup yaratma, grup üyelerinin değiştirilmesi vb.), dosya sunucularında gerçekleşen olaylar (dosya silme, değiştirme, yaratma vb.), kullanıcıların oturum işlemleri (oturum açma, kapatma, kilitleme, ekran koruyucu devreye girmesi / çıkması), Active Directory’de yapılan değişikliklerin takibi (Group Policy, OU vb.), yazıcı işlemlerinin takibi, uygulama yüklemelerinin takibi gibi bunlara verilebilecek örnekler arasındadır.

Gönderilen/alınan epostaların kayıtları, güvenlik duvarları ve aktif ağ cihazlarının erişim kayıtları, kritik uygulamaların erişim ve operasyonel kayıtlarının toplanması (SAP, SQL Server, Oracle, Exchange Server, vb.), web/FTP/SMTP ve benzeri Internet servis sunucu kayıtlarının toplanması ise kolektörler tarafından ile izlenebilen olaylara örnek olabilir.

 

Bunların yanında, Infraskope Agent ile tespit edilebilen olaylara örnekler vermek gerekirse; sistem yöneticilerinin makinalara (haber vermeden) erişimlerinin takibi, hacker uygulamalarının kullanımı , donanımsal keylogger cihazlarının tespiti, network dinleme olaylarının tespiti, kablosuz-USB/Bluetooth ile internet bağlantılarının tespiti, paylaşıma açılan dizinlerin takibi, en çok ağ trafiği yaratan makinaların tespiti, kullanıcı bilgisayarlarına yapılan saldırılar, ileri şifre kırma tekniklerinin tespiti, kullanıcı bilgisayarlarına takılan her türlü cihazın tespiti, kullanıcıların yapmış olduğu / yapabileceği saldırılar, USB depolama aygıtlarının takibi ve yapılan işlemlerin kaydedilmesi (kopyalama, silme vb.), PrintScreen veya başka bir uygulama ile ekrandaki görüntünün başka bir ortama aktarılması, bilgisayarlardaki yazılım ve donanım envanteri, bilgisayarlarda çalıştırılabilecek zararlı uygulamaların takibi ve engellenmesi (şifre kırma, keylogger vb.), Microsoft Office uygulamalarına yüklenen plugin’lerinin kaldırılması, devre dışı bırakılması, etkinleştirilmesi gibi olayların tespiti, registry anahtar ve değerlerinin takibi, hosts dosyasında yapılan değişikliklerin takibidir.

 


Editor 06.08.2017