LOGSTACK ON KESKNE LOGIHALDUSE TEENUS, MIS SISALDAB TARKVARA PAIGALDUST, SEADISTUST JA HALDUST.
LogStack on arendatud põhimõttel, et klient maksab teadmiste ja kogemuse eest.
Alustarkvara komponendid baseeruvad vabavaralistel või tasuta litsentsidel. LogStacki eesmärk on aidata klienti kiirelt juurutada tsentraalne logihalduse süsteem „kuldsete käeraudadega” kommertstarkvara litsentsideta. LogStack annab olulise lisaväärtuse küber, IT ja andmekaitse seisukohalt (seal hulgas: rakenduste, arenduse või muu IT igapäevase halduse osas). Teenus toetab organisatsiooni ISO või E-ITS normide täitmise nõudeid.
LOGSTACK TEENUSEGA SAATE 1-3 KUUGA :
- Kõrgkäideldava Keskse logihaldus süsteemi;
- Seadistatud põhifunktsionaalsused:
- A. Teavitused
- B. Raportid
- C. Vaated
- Standartsete ja enim levinud logiallikate liidestamise;
- Juurutuse käigus koolitame Teid LogStacki kasutama
HALDUSE VÄLJAKUTSED
- Logihaldus on ressursikulukas.
- Suur osa logihalduse projektidest jäävad pooleli või rakendatakse ainult osaliselt.
- Põhimõte „Pole logisid, pole probleeme” tänases maailmas enam ei kehti.
- Logidega tegelemine peale intsidenti on liiga hilja.
- Logihaldus on eriti oluline küberturbe ja andmekaitse maastikul.
- Logide abil saab analüüsida ja tuvastada ohtusid, ründeid ja allikate lekkeid.
LOGSTACK SISALDAB
Keskse logihalduse keskkonna paigaldust ja selle keskkonna haldust, uuendust ja arendust.
- Kogutud logid normaliseeritakse ja indekseeritakse, mis teeb võimalikuks nende kiire töötlemise: otsingud, korrelatsiooni ja visualiseerimise.
- Kasutajaliideses on juba valmis vaated ja dashboard-id erinevate logitüüpide koheseks analüüsiks.
- Häälestatakse logisündmuste automaatanalüüs ja teavitused anomaaliate ning kriitiliste turvasündmuste puhuks.
- Primaarseks kasutajaliideseks on veebipõhine liides, mis võimaldab ka paindlikku andmetele ligipääsu juhtimist (RBAC).
- LogStack arhitektuuri loomisel ja paigaldamisel on eesmärgiks võetud sobivus ISKE M-taseme infrastruktuuri ja selle kõikide nõudmiste rahuldamiseks.
- Kõik LogStack-i sisesed ja välised ühendused on turvatud (autenditud ja krüpteeritud) sisemise PKI-ga.
- Logiallikate kiireks liidestamiseks on valmis vahendid ja protseduurid.
- Teenuse loomiseks kasutakse klasterdatud Elasticsearch ja sellega seonduvaid komponente.
LOGSTACK ARHITEKTUUR
LOGSTACK MOODULID
Edastusmoodulid
paigaldatakse logi tekitavale serverile (eelpaigaldatud LogStack serveritel), selleks on üldjuhul Elastic-u filebeat või winlogbeat, mis loovad kõrgkäideldava TLS ühenduse LogStackiga, üldjuhul Vastuvõtumooduli logstashiga ja Salvestusmooduli elasticsearchiga. Pilveserveritest logi kogumiseks võib kasutada ka pull-tüüpi edastust, kus kesksed Vastuvõtumooduli logstash moodulid ühenduvad pilveserveriga ja sünkroniseerivad logi. Edastusmoodulite paigaldamiseks ja häälestamiseks on loodud automatiseerimisvahendid, kasutakse ansible playbooke.
Vastuvõtumoodul
koosneb üldjuhul kolmest alamsüsteemist, millest igaüks on dubleeritud, eritüübiliste logide vastuvõtuks: 1. Syslogi-põhise logivoo vastuvõtuks üle TCP/UDP, puhverdamiseks ja eeltöötluseks, kasutab syslog-puhver moodulit. Seda vajavad tihti võrguseadmed. 2. TLS-turvatud logivoo vastuvõtuks serveritest ja lokaalsest syslog puhvrist, selleks on üldjuhul Elastic-u logstash. Siin toimub info normaliseerimine, muundamine ja rikastamine vastavalt vajadusele. 3. Sõltumatu lokaalse logivoo vastuvõtu moodul logstash annab stabiilse logikanali LogStack enda logide käitlemiseks.
Salvestusmoodul
koosneb eraldatud Elasticsearch funktsioonidest: master, data ja coordination, igaühte skaleeritud vastavalt parimale praktikale ja nõudmistele, näiteks 3 node per funktsioon. Andmete käideldavuse tagamine on realiseeritud +1 liiasusega, st. sama logisündmus eksisteerib vähemalt 2-s erinevas Elasticsearch teenuskonteineris, mis jooksevad erinevates (virtuaal)serverites.
AAA moodul
on integreeritud Salvestusmooduliga ja tagab minimaalse vajaliku rollipõhise ligipääsu (RBAC) igale komponendile ja/või kasutajale, kes sellega liidestuda soovib. Standardhäälestuses hoitakse LogStack-i siseste moodulite kontosid (ca 10 eelhäälestatud rolli) lokaalses andmebaasis ja inimkasutajate (3 eelhäälestatud rolli) ligipääsu juhtimiseks integreeritakse see olemasoleva välise AAA-teenuse pakkujaga üle standartse turvalise protokolli, näit. LDAPs (Microsoft AD), OpenID (Azure AD),kerberos, SAML.
Varundusmoodul
on kasutatav kahes rollis:
- andmete varundamiseks eraldi süsteemi ja sealt taastamiseks
- vanemate andmete arhiveerimiseks ja süsteemi tagasitoomiseks.
Varundamiseks ja arhiveerimiseks sobib ühendus välise salvestuspinnaga üle S3 või NFS protokolli. Varundus ja taastamine on võimalik suure granulaarsusega, näiteks filtreerides indeksi või kuupäeva alusel. Varundusmoodul toimib edukalt ka tiheda graafiku (15 min) ning suure arvu (1000+) indeksite ja snapshottide korral.
Paigaldusmoodul
aitab teostada LogStack esialgse paigalduse võimalikult kiiresti. See sisaldab funktsioone (ansible playbooke) nii serverite infra teenuste (gfs, docker swarm), kui ülaltoodud kesksete teenuskomponentide ja Edastusmoodulite automaatpaigalduseks ja häälestuseks.
Alertingu moodulid
võimaldavad teostada logisündmuste automaatanalüüsi ja teatud tingimuste täitumisel genereerida ka kasutajateavitusi erinevatesse kanalitesse, näit e-mail, slack, ...
PKI moodul
varustab kõik LogStack teenust pakkuvad moodulid (näit elasticsearch, logstash, ..) x.509 sertifikaatidega. Seda võib kasutada iseseisva 2-tasemelise CA-na (rCA+iCA) või liidestada olemasolevasse PKI infrastruktuuri signeeriva Sub-CA-na.
Tervikluse tagamise moodul
(integrity) signeerib kõik logikirjed SHA-ga juba enne salvestamist ning moodustab räsidest plokiahela-laadse struktuuri (SHA2). Taustaprotsess kontrollib ka selle struktuuri terviklust ja annab häiret tervikluse kadumise korral.
Sünkroniseerimismoodul
võimaldab siduda kaks autonoomselt töötavat LogStack-I (tüüpiliselt eraldi andmekeskustes või pilvedes) nii, et mõlemas on igal ajahetkel (near-real-time) olemas kogu info.
Opereerimismoodul
sisaldab LogStack igapäevast haldust ja tõrkeotsingut lihtsustavaid komponente ja skripte.
Saatke päring demovideotele
Tekkis huvi LogStack logihalduse keskkonna vastu? Meil on ettevalmistatud mitu demo videot erinevate stsenaariumitega, kuidas LogStack teenusega paigaldatud keskne logihalduse keskkond aitab tuvastada anomaaliaid nii veebiserverites (turvaintsident) kui MS Windows süsteemides (kaaperdamine ja lunavara-intsident).
SAATKE PÄRINGLOGSTACK KASUTUSJUHTUMID
Turvaosakond,
kelle jaoks on keskne logihaldus, kust on ligipääs kõikidele infrastruktuuri ja rakenduste logidele, kriitilise tähtsusega turvaintsidentide kiireks avastamiseks ning operatiivseks analüüsiks.
IT arendus ja haldusosakonnad,
kelle jaoks on oluline anda lihtsa liidesega ligipääs just sellistele logidele, mis on konkreetsele rollile oluline, näiteks Windows administraator on huvitatud vaid oma Windowsi domeeniga setud logidest.
Compliance officer,
kellele on võimalik logide baasil luua raportid ja väljavõtted tegevustest, mis ei ole vastavuses ettevõttes kehtestatud poliitikaga ning mis võimaldavad ära hoida andmelekked
Aja kokkuhoiu kasutusjuht
Sideettevõttena peame hoidma head ülevaadet oma süsteemides toimuvast. Kuigi meil on implementeeritud SIEM (turvateabe ja sündmuste haldamise) süsteem, mis toimib hea teavitussüsteemina, siis kahjuks ei ole sellest piisavalt abi meie osakondadele kiireks probleemide, ohtude ja vigade algallikate määramiseks. Selleks planeerisime kasutusele võtta keskse logihalduse, mis võimaldab tõhusalt probleemide juurpõhjusteni jõuda. Implementeerimise faasis saime aru, et meil puuduvad vastavad teadmised ja kogemused, et süsteem saada meile sobivalt tööle ja hallatud. Otsustasime teenuse kasuks, et saaksime võimalikult kiirelt ja tõhusalt paigaldatud keskse logide halduse süsteemi, mis võimaldab probleemid isoleerida enne, kui need muutuvad kriitiliseks.
Raha kokkuhoiu kasutusjuht
Oleme keskmise suurusega riigiasutus ja meie ressursid on eelarveliselt väga piiratud. Selleks, et me ei peaks pidevalt võitlema ressursinappusega meie toodangkeskkonnas, otsustasime rakendada järelevalvesüsteemi, mis annab meile ülevaate toodangkeskkonnas toimivate rakenduste ressursside kulutamisest. Aja ja lisakulutuste kokkuhoiu eesmärgil otsustasime kasutada implementatsiooniks ja edasiseks süsteemi toimimiseks partneri abi. Nüüd näeme kui mõni rakendus kulutab regulaarsest või ka ebaregulaarsest toimimisest tulenevalt liigselt alusinfrastruktuuri ressursse. Selle tõendusmaterjaliga saame pöörduda partnerite poole, kes omakorda saavad arendusi parendada vastavalt nõuetele.
Vastavuse kasutusjuht
Keskne logihaldus annab meie haigla IT, infoturbe ja äri osakondadele vaated ja aruandlusvõimalused, mida vajame, et tõestada oma vastavust sisekontrollidele ja SLA-dele. Olenemata sellest, kas turvaintsident toimub või mitte, oleme järjest suurema järelevalve all. Olemasolevad ja uued seadused seavad järjest enam auditite nõudeid, mille puhul suure teabemahu kokkuvõtmine ilma keskse süsteemita on peaaegu, et võimatu. Lisaks sellele, et logifailide analüüs on küberturvalisuse seisukohalt kriitiline, aitab see meid auditinõuete, kohtuvaidluste ja isikuandmete käitlemise kontrollimisel. Selleks, et me ei asendaks ühte tööd teisega võtsime appi kogemustega partneri, kelle teenus annab meile võimaluse oma osale keskenduda.
Turvalisuse kasutujuht
Õppeasutusena on meie süsteemis suur hulk kasutajaid ning nende haldamine on väga tülikas. Seetõttu on meile oluline viia nii paljude teenuste halduseid keskseks kui saame. Keskne logide haldus võimaldab meil juhtumeid tõhusamalt uurida ja auditeerida, kuna kõik sündmuste andmed kogutakse ühte kohta. Pahatahtlikel tegutsejatel on juba logi serverile edastatud logidest tõendeid raskem eemaldada. Lisaks kontrollib tervikluse tagamise moodul logide struktuuri terviklust ja annab häiret tervikluse kadumise korral. Saame andmeid analüüsida ja korreleerida rohkem kui ühe süsteemi kohta. Sündmuse andmetele pääseb juurde isegi siis, kui algserver on võrguühenduseta, ohustatud või kasutusest kõrvaldatud. Võtsime paigalduse ja halduse partnerilt, et vältida veel ühe teenuse halduse lisandumist tööde nimekirja.
Infoturbe kasutusjuht
Transpordiettevõttena soovime keskenduda oma põhitegevusele ja kasutame mitmeid koostööpartnereid nii muudes valdkondades kui logide halduses. Kuigi me teame täpselt, kus meie logifailid asuvad, siis meie jaoks ei ole parim tava lubada kõigile oma partnerite töötajatele ligipääsu oma toodangsüsteemidele peale süsteemi käivitamist. Parimaks lahenduseks on keskne logihaldus, mis võimaldab kasutajatel logifaile vaadelda, kuid ei vaja selleks toodangsüsteemile ligipääsu lubamist. Sellise lähenemisega hoiame oma süsteemid töökorras ja turvalised.
Statistika ja turunduse kasutujuht
Veebipoena on meie jaoks oluline näha veebirakenduse külastajate käitumist ja teada, mis klienditrendidega kaasa liikuda. See info võimaldab meil lihtsasti märgata, millal on parim aeg uudiskirja saatmiseks, millal uus veebirakenduse versioon välja anda või toode turule tuua, millal sulgeda oma sait hoolduseks või testimiseks ja veel palju muud. Lisaks kasutame logianalüüsi turundustegevuse vaatlemiseks ja mõjutamiseks. Kogudes andmeid, nagu viitavad saidid, juurdepääsetavad lehed ja konversioonimäärad, näeme kui hästi meie turunduskampaaniad toimivad ja vajadusel võtame kasutusele meetmeid nende parandamiseks.
MEIE KLIENDID
LISATEAVE
Minimaalsed nõuded infrastruktuurile
*Minimaalne konfiguratsioon ühes saidis koosneb 3 serverist, mis vastavad järgmistele tingimustele: 2 CPU core, 12GB RAM, 40GB OS disk, 400 GB SSD, 1 TB HDD, OS: Centos 7, Alma 8.
* Täpsemad nõuded ressurssidele selguvad peale lähteülesande täpsustamist ning sõltuvad logide mahust, keerukusest, säilitusperioodidest, RBAC jpt.
Võtke Ühendust
Telefon: +372 633 3266
E-post: info@bytelife.com
Toompuiestee 35, Tallinn 10149
Registrikood: 11179901
KMKR: EE101003320