információbiztonság: napló
TRANSCRIPT
Napló,
2
- Cél szentesíti az eszközt
- Gyűjtés
- Kezelés
- Feldolgozás
- Elemzés
- Minden cél jó a maga módján
- Mivel a cél eltérő, a helyes módszertan sem azonos
- De mi a napló?
- Gyűjtés után minden napló lehet, adattá alakítható
- Napló =
- Jó napló?
- Értékes napló?
- Költséghatékony napló?
Mint az iskolában
Rajt – cél
3
- Általános cél műszaki oldalról
- minden
- Megvalósítható cél
- megegyezik ezzel, minden
- Költség-kontrollált cél
- általában nem beismert
- Költségek
- Cél túlhatározott, korlátok nem beismertek = Csillagháború
A győzelem messze lehet
Halálcsillag
4
Halálcsillag
- Nagy tervek
- Jóváhagyás: Darth Tyranus, Darth Sidious
- Kivitelezés: Tarkin
- Problémák
- Költségek
- Technikai korlátok
- Építési nehézségek, együttműködés
- Közel kész állapot: 20 év
- Üzemeltető személyzet: 1.161.293 fő
A vállalkozók lázadása
Project
5
- Célok
- Célok lebontása csökkentheti a feladatokat és erőforrásokat
- Jobb fókuszt biztosít
- Hamarabb eredményre juthat
- Bízzunk az erőben
- De ne túlságosan
- Ismerjük be korlátainkat
- Mérjük fel erőnket, hogy ne erőszak szerverez legyen a project
- Elérhető célok és emberi erőforrások
- Fizikai erőforrások elérhetőséges, képességeink
Kivitelezés művészete
Gondolkodni
6
- Megfelelő kérdéseket meg kell hallani, fel kell ismerni
- Mi a célom és milyen emberi erőforrást tudok mellé rendelni?
- Az ember véges erőforrás- Technikai paraméterek definiálása egyszerű
- Emberi feldolgozó képességet nehezebb hozzárendelni
- Technika is limitáld lehet
- Matematika- 10.000 EPS, egy Event átlag 2 sor, egy képernyő 168 sor
- 119 képernyő / másodperc = 119 FPS, de az ember kb 20-nál feladja
- Matematika #2- 20 FPS megkülönböztetés – nem olvasás! – a fenti adatokkal
- 1680 EPS felismerése- Ki készít ebből jelentéseket?
- Bízni kell a technikában, de korlátlan „tömörítés” nem lehetséges
Nem erőből cselekedni
Matematika
7
- Mindent fel kell szorozni
- EPS-t limitálni érdemes. Könnyű nagyot mondani!
- Idő x Darabszám x Hossz = Nagy baj!
- Ellenőrzés
- 60.000 EPS 1 évre 1.100 byte méret mellett = 2 PB RAW
- 1 éves jelentés 1 nap alatt: 6.000.000 IOPS! (4k, linear) és 23GBps RAM-DISK IO (HBA!)
- 1:100 tömörítés mellett is rémisztő IOPS
- 1:100 tömörítés IOPS-ot csökkenti, de LZW miatt CPU-t sokszorosra növeli
- Ethernet frame: 1500+ Byte + Meta adatok!
- 10 Gbps 5 napra akár 500TB is lehet meta nélkül
- VS. IOPS, CPU, buszok
- Megvalósítás
- Ha felismerem a limiteket, elfogadva őket elosztott rendszert építhetek
- Két-három dimenziós felosztás kisebb, olcsóbb elemeket követel meg
Realitások segíthetnek
Megvalósítás
8
- Kevés a tapasztalat, el kell hinni a tanácsadó mondását
- Kontroll: valós korlátok ismerete segíthet
- Gyűjteni jó, de szinte soha nem akarok hozzáférni az adatokhoz- Fektetni olcsóbb, mint memóriában tárolni
- Elemezni jó, de vajon mindent akarok elemezni?- Kb. 80% frame error, port up/down feldolgozási költsége meghatározható
- Mit akarok elemezni és mekkora időtávra?- Tudok olyan igényt mondani, ami több, mint 1 órás?
- Miről kell jelentés?- Mi az, ami keresés, de jelentésnek hívom?
- Általános vagy konkrét?- Valóban kell szinte minden adat a válaszoz, vagy felbonthatom csoportokra?
- 1 TB olvasásának és 100 TB olvasásának is van költsége, ami közel nem azonos
- Átlag 30.000.000 EPS is kezelhető- Nem egy project és nem 3 hónap alatt, főleg nem egyben
Tapasztalati problémák
Összefoglalás
9
- Gyűjtés – gyors bevezetés- Mindent el kell rakni – főleg csak tárolni kell
- Visszakeresés gyakorisága, hossza – ILM megoldások- Olcsó, célzott tároló/fogadó megoldás nagy fogadási méretezéssel, ILM támogatással- Syslog-NG OSE/PE/SSB variánsok
- Kezelés, feldolgozás – könnyű sikerek- Szűrés, elő feldolgozás megengedett, célzott eljárások- Költség és keresési hatékonyság növelése- Általánosan megfogalmazott feladatok, compliance- Feladat specifikus rendszerek – hálózat, perimeter, üzleti rendszerek, kiemelt folyamatok- Korrelált adatok megőrzése és tárolása, visszakereshetősége – ILM
- HP ESP ArcSight Logger termékvonal
- Kiemelt elemzés – agymunka vs. korlátlan budget- Korrelációs szint, csak célzott, értékes use-case támogatás- Erős erőforrás-kontroll a költségek kezelésére
- HP ESP ArcSigth Express/ESM SIEM megoldások
- Egyéb megoldások- McAfee SIEM
Javaslatok
OOOO A4
11
A naplózás létjogosultsága ma már nem kérdés. Egyre több esetben már értékként is lehet használni. Ebből adódóan célszerű lehet értékes rendszerként alkalmazni. A naplók mérete és igényei jelentősen megnőttek napjainkra. Minden adatot naplónak lehet tekinteni, így adatbányászni is lehet bennük. Innen eredhet a Big Data alapú kezelése a naplóknak. A kissé beláthatatlan, néha homályos Big Data helyett lehet, hogy célszerűbb itt is visszanyúlni a régi adatkezelési elvekhez, s ILM-ben gondolkozni. Osztályozni az adatokat, célokat rendelni hozzájuk, s életciklusban kezelni őket. Kényelmes mindent egyben kezelni, de feldolgozó, tároló, mentő rendszereket is kell társítani mellé. Egy átlátható és felfogható, letisztult rendszer kontrollálhatóvá teheti a költségeket, átláthatóan tartja a rendszert – bár előzetes tervezést igényel. Tapasztalatok alapján a tervezés felgyorsítható, a bevezetés szakaszolható a minőségibb eredmény elérése érdekében – a használható project termék előállítása céljából. Ipari, pénzügyi, TELCO – illetve kiemelkedő méretű nemzetközi – naplókezelési és elemzési projecteken alapuló tapasztalatunk megfontolásra lehet érdemes.