LogStack on arendatud põhimõttel, et klient maksab teadmiste ja kogemuse eest.
Alustarkvara komponendid baseeruvad vabavaralistel või tasuta litsentsidel. LogStacki eesmärk on aidata klienti kiirelt juurutada tsentraalne logihalduse süsteem „kuldsete käeraudadega” kommertstarkvara litsentsideta. LogStack annab olulise lisaväärtuse küber, IT ja andmekaitse seisukohalt (seal hulgas: rakenduste, arenduse või muu IT igapäevase halduse osas). Teenus toetab organisatsiooni ISO või E-ITS normide täitmise nõudeid.
LOGSTACK TEENUSEGA SAATE 1-3 KUUGA :
Keskse logihalduse keskkonna paigaldust ja selle keskkonna haldust, uuendust ja arendust.
paigaldatakse logi tekitavale serverile (eelpaigaldatud LogStack serveritel), selleks on üldjuhul Elastic-u filebeat või winlogbeat, mis loovad kõrgkäideldava TLS ühenduse LogStackiga, üldjuhul Vastuvõtumooduli logstashiga ja Salvestusmooduli elasticsearchiga. Pilveserveritest logi kogumiseks võib kasutada ka pull-tüüpi edastust, kus kesksed Vastuvõtumooduli logstash moodulid ühenduvad pilveserveriga ja sünkroniseerivad logi. Edastusmoodulite paigaldamiseks ja häälestamiseks on loodud automatiseerimisvahendid, kasutakse ansible playbooke.
koosneb üldjuhul kolmest alamsüsteemist, millest igaüks on dubleeritud, eritüübiliste logide vastuvõtuks: 1. Syslogi-põhise logivoo vastuvõtuks üle TCP/UDP, puhverdamiseks ja eeltöötluseks, kasutab syslog-puhver moodulit. Seda vajavad tihti võrguseadmed. 2. TLS-turvatud logivoo vastuvõtuks serveritest ja lokaalsest syslog puhvrist, selleks on üldjuhul Elastic-u logstash. Siin toimub info normaliseerimine, muundamine ja rikastamine vastavalt vajadusele. 3. Sõltumatu lokaalse logivoo vastuvõtu moodul logstash annab stabiilse logikanali LogStack enda logide käitlemiseks.
koosneb eraldatud Elasticsearch funktsioonidest: master, data ja coordination, igaühte skaleeritud vastavalt parimale praktikale ja nõudmistele, näiteks 3 node per funktsioon. Andmete käideldavuse tagamine on realiseeritud +1 liiasusega, st. sama logisündmus eksisteerib vähemalt 2-s erinevas Elasticsearch teenuskonteineris, mis jooksevad erinevates (virtuaal)serverites.
on integreeritud Salvestusmooduliga ja tagab minimaalse vajaliku rollipõhise ligipääsu (RBAC) igale komponendile ja/või kasutajale, kes sellega liidestuda soovib. Standardhäälestuses hoitakse LogStack-i siseste moodulite kontosid (ca 10 eelhäälestatud rolli) lokaalses andmebaasis ja inimkasutajate (3 eelhäälestatud rolli) ligipääsu juhtimiseks integreeritakse see olemasoleva välise AAA-teenuse pakkujaga üle standartse turvalise protokolli, näit. LDAPs (Microsoft AD), OpenID (Azure AD),kerberos, SAML.
on kasutatav kahes rollis:
Varundamiseks ja arhiveerimiseks sobib ühendus välise salvestuspinnaga üle S3 või NFS protokolli. Varundus ja taastamine on võimalik suure granulaarsusega, näiteks filtreerides indeksi või kuupäeva alusel. Varundusmoodul toimib edukalt ka tiheda graafiku (15 min) ning suure arvu (1000+) indeksite ja snapshottide korral.
aitab teostada LogStack esialgse paigalduse võimalikult kiiresti. See sisaldab funktsioone (ansible playbooke) nii serverite infra teenuste (gfs, docker swarm), kui ülaltoodud kesksete teenuskomponentide ja Edastusmoodulite automaatpaigalduseks ja häälestuseks.
võimaldavad teostada logisündmuste automaatanalüüsi ja teatud tingimuste täitumisel genereerida ka kasutajateavitusi erinevatesse kanalitesse, näit e-mail, slack, ...
varustab kõik LogStack teenust pakkuvad moodulid (näit elasticsearch, logstash, ..) x.509 sertifikaatidega. Seda võib kasutada iseseisva 2-tasemelise CA-na (rCA+iCA) või liidestada olemasolevasse PKI infrastruktuuri signeeriva Sub-CA-na.
(integrity) signeerib kõik logikirjed SHA-ga juba enne salvestamist ning moodustab räsidest plokiahela-laadse struktuuri (SHA2). Taustaprotsess kontrollib ka selle struktuuri terviklust ja annab häiret tervikluse kadumise korral.
võimaldab siduda kaks autonoomselt töötavat LogStack-I (tüüpiliselt eraldi andmekeskustes või pilvedes) nii, et mõlemas on igal ajahetkel (near-real-time) olemas kogu info.
sisaldab LogStack igapäevast haldust ja tõrkeotsingut lihtsustavaid komponente ja skripte.
Tekkis huvi LogStack logihalduse keskkonna vastu? Meil on ettevalmistatud mitu demo videot erinevate stsenaariumitega, kuidas LogStack teenusega paigaldatud keskne logihalduse keskkond aitab tuvastada anomaaliaid nii veebiserverites (turvaintsident) kui MS Windows süsteemides (kaaperdamine ja lunavara-intsident).
SAATKE PÄRINGkelle jaoks on keskne logihaldus, kust on ligipääs kõikidele infrastruktuuri ja rakenduste logidele, kriitilise tähtsusega turvaintsidentide kiireks avastamiseks ning operatiivseks analüüsiks.
kelle jaoks on oluline anda lihtsa liidesega ligipääs just sellistele logidele, mis on konkreetsele rollile oluline, näiteks Windows administraator on huvitatud vaid oma Windowsi domeeniga setud logidest.
kellele on võimalik logide baasil luua raportid ja väljavõtted tegevustest, mis ei ole vastavuses ettevõttes kehtestatud poliitikaga ning mis võimaldavad ära hoida andmelekked
Sideettevõttena peame hoidma head ülevaadet oma süsteemides toimuvast. Kuigi meil on implementeeritud SIEM (turvateabe ja sündmuste haldamise) süsteem, mis toimib hea teavitussüsteemina, siis kahjuks ei ole sellest piisavalt abi meie osakondadele kiireks probleemide, ohtude ja vigade algallikate määramiseks. Selleks planeerisime kasutusele võtta keskse logihalduse, mis võimaldab tõhusalt probleemide juurpõhjusteni jõuda. Implementeerimise faasis saime aru, et meil puuduvad vastavad teadmised ja kogemused, et süsteem saada meile sobivalt tööle ja hallatud. Otsustasime teenuse kasuks, et saaksime võimalikult kiirelt ja tõhusalt paigaldatud keskse logide halduse süsteemi, mis võimaldab probleemid isoleerida enne, kui need muutuvad kriitiliseks.
Oleme keskmise suurusega riigiasutus ja meie ressursid on eelarveliselt väga piiratud. Selleks, et me ei peaks pidevalt võitlema ressursinappusega meie toodangkeskkonnas, otsustasime rakendada järelevalvesüsteemi, mis annab meile ülevaate toodangkeskkonnas toimivate rakenduste ressursside kulutamisest. Aja ja lisakulutuste kokkuhoiu eesmärgil otsustasime kasutada implementatsiooniks ja edasiseks süsteemi toimimiseks partneri abi. Nüüd näeme kui mõni rakendus kulutab regulaarsest või ka ebaregulaarsest toimimisest tulenevalt liigselt alusinfrastruktuuri ressursse. Selle tõendusmaterjaliga saame pöörduda partnerite poole, kes omakorda saavad arendusi parendada vastavalt nõuetele.
Keskne logihaldus annab meie haigla IT, infoturbe ja äri osakondadele vaated ja aruandlusvõimalused, mida vajame, et tõestada oma vastavust sisekontrollidele ja SLA-dele. Olenemata sellest, kas turvaintsident toimub või mitte, oleme järjest suurema järelevalve all. Olemasolevad ja uued seadused seavad järjest enam auditite nõudeid, mille puhul suure teabemahu kokkuvõtmine ilma keskse süsteemita on peaaegu, et võimatu. Lisaks sellele, et logifailide analüüs on küberturvalisuse seisukohalt kriitiline, aitab see meid auditinõuete, kohtuvaidluste ja isikuandmete käitlemise kontrollimisel. Selleks, et me ei asendaks ühte tööd teisega võtsime appi kogemustega partneri, kelle teenus annab meile võimaluse oma osale keskenduda.
Õppeasutusena on meie süsteemis suur hulk kasutajaid ning nende haldamine on väga tülikas. Seetõttu on meile oluline viia nii paljude teenuste halduseid keskseks kui saame. Keskne logide haldus võimaldab meil juhtumeid tõhusamalt uurida ja auditeerida, kuna kõik sündmuste andmed kogutakse ühte kohta. Pahatahtlikel tegutsejatel on juba logi serverile edastatud logidest tõendeid raskem eemaldada. Lisaks kontrollib tervikluse tagamise moodul logide struktuuri terviklust ja annab häiret tervikluse kadumise korral. Saame andmeid analüüsida ja korreleerida rohkem kui ühe süsteemi kohta. Sündmuse andmetele pääseb juurde isegi siis, kui algserver on võrguühenduseta, ohustatud või kasutusest kõrvaldatud. Võtsime paigalduse ja halduse partnerilt, et vältida veel ühe teenuse halduse lisandumist tööde nimekirja.
Transpordiettevõttena soovime keskenduda oma põhitegevusele ja kasutame mitmeid koostööpartnereid nii muudes valdkondades kui logide halduses. Kuigi me teame täpselt, kus meie logifailid asuvad, siis meie jaoks ei ole parim tava lubada kõigile oma partnerite töötajatele ligipääsu oma toodangsüsteemidele peale süsteemi käivitamist. Parimaks lahenduseks on keskne logihaldus, mis võimaldab kasutajatel logifaile vaadelda, kuid ei vaja selleks toodangsüsteemile ligipääsu lubamist. Sellise lähenemisega hoiame oma süsteemid töökorras ja turvalised.
Veebipoena on meie jaoks oluline näha veebirakenduse külastajate käitumist ja teada, mis klienditrendidega kaasa liikuda. See info võimaldab meil lihtsasti märgata, millal on parim aeg uudiskirja saatmiseks, millal uus veebirakenduse versioon välja anda või toode turule tuua, millal sulgeda oma sait hoolduseks või testimiseks ja veel palju muud. Lisaks kasutame logianalüüsi turundustegevuse vaatlemiseks ja mõjutamiseks. Kogudes andmeid, nagu viitavad saidid, juurdepääsetavad lehed ja konversioonimäärad, näeme kui hästi meie turunduskampaaniad toimivad ja vajadusel võtame kasutusele meetmeid nende parandamiseks.
*Minimaalne konfiguratsioon ühes saidis koosneb 3 serverist, mis vastavad järgmistele tingimustele: 2 CPU core, 12GB RAM, 40GB OS disk, 400 GB SSD, 1 TB HDD, OS: Centos 7, Alma 8.
* Täpsemad nõuded ressurssidele selguvad peale lähteülesande täpsustamist ning sõltuvad logide mahust, keerukusest, säilitusperioodidest, RBAC jpt.