LOGSTACK ON KESKNE LOGIHALDUSE JA SIEM TEENUS, MIS SISALDAB TARKVARA PAIGALDUST, SEADISTUST JA HALDUST.

LogStack on arendatud põhimõttel, et klient maksab teadmiste ja kogemuse eest.

LogStacki teenuse raames paigaldame kliendi serverisse logide keskseks haldamiseks vajalikud tarkvarapaketid, seadistame need kliendi keskkonnas toimima ning tagame lahenduse jooksva halduse ja hoolduse. LogStack teenus sobib kasutamiseks nii füüsilistel (on-premise) kui pilveserveritel. Kuna lahendus baseerub põhiosas vabade ja/või tasuta litsentside alusel levitataval tarkvaral, ei kaasne sellega kommertstarkvarale ega hallatud teenustele omaseid „kuldseid käeraudu“.

LogStack annab olulise lisaväärtuse küber, IT ja andmekaitse seisukohalt (seal hulgas: rakenduste, arenduse või muu IT igapäevase halduse osas). Teenus toetab organisatsiooni ISO või E-ITS normide täitmise nõudeid.

LOGSTACK TEENUSEGA SAATE 1-3 KUUGA :

  • Kõrgkäideldava Keskse logihaldus süsteemi;
  • Seadistatud põhifunktsionaalsused:
    • A. Teavitused
    • B. Raportid
    • C. Vaated
  • Standartsete ja enim levinud logiallikate liidestamise;
  • Juurutuse käigus koolitame Teid LogStacki kasutama

HALDUSE VÄLJAKUTSED

Mul puudub ülevaade logide asukohast.
Mul puudub ülevaade logide asukohast.
Oleme kulutanud oma süsteemi arendamisele üleliigset aega ja resurssi.
Oleme kulutanud oma süsteemi arendamisele üleliigset aega ja resurssi. Oleme kaugel eesmärgist.
Kes saab logidele ligi? Mis õigused neil on?
Kes saab logidele ligi? Mis õigused neil on?
Kuidas ma saan kõik IT logid tsentraliseerida?
Kuidas ma saan kõik IT logid tsentraliseerida?
Ma soovin logipõhjal analüüsi ...
Ma soovin logipõhjal analüüsi eilse, tänase olukorra hindamiseks ja tuleviku prognoosiks
Ma soovin anomaaliate ja oluliste sündmuste häireid.
Ma soovin anomaaliate ja oluliste sündmuste häireid.
Meie tarkvara logid ei ole loetavad.
Meie tarkvara logid ei ole loetavad.
  • Logihaldus on ressursikulukas.
  • Suur osa logihalduse projektidest jäävad pooleli või rakendatakse ainult osaliselt.
  • Põhimõte „Pole logisid, pole probleeme” tänases maailmas enam ei kehti.
  • Logidega tegelemine peale intsidenti on liiga hilja.
  • Logihaldus on eriti oluline küberturbe ja andmekaitse maastikul.
  • Logide abil saab analüüsida ja tuvastada ohtusid, ründeid ja allikate lekkeid.

LOGSTACK SISALDAB

Keskse logihalduse ja SIEM keskkonna paigaldust (kliendi hallatud füüsilises või virtuaalses andmekeskuses, serverites) ja selle keskkonna haldust, uuendust ja arendust.

  • Kogutud logid normaliseeritakse ja indekseeritakse, mis teeb võimalikuks nende kiire töötlemise: otsingud, korrelatsiooni ja visualiseerimise.
  • Kasutajaliideses on juba valmis vaated ja dashboard-id erinevate logitüüpide koheseks analüüsiks.
  • Häälestatakse logisündmuste automaatanalüüs, SIEM (üle 600 vaike reegli) ja teavitused anomaaliate ning kriitiliste turvasündmuste puhuks.
  • Primaarseks kasutajaliideseks on veebipõhine liides, mis võimaldab ka paindlikku andmetele ligipääsu juhtimist (RBAC).
  • LogStack arhitektuuri loomisel ja paigaldamisel on eesmärgiks võetud sobivus ISKE M-taseme infrastruktuuri ja selle kõikide nõudmiste rahuldamiseks.
  • Kõik LogStack-i sisesed ja välised ühendused on turvatud (autenditud ja krüpteeritud) sisemise PKI-ga.
  • Logiallikate kiireks liidestamiseks on valmis vahendid ja protseduurid.
  • Teenuse loomiseks kasutakse klasterdatud Elasticsearch ja sellega seonduvaid komponente.

LogStack paketid

Installeerimine (kliendi hallatud serverites)

  • LogStacki 3 serveri klasterlahendus
  • AAA mooduli integratsioon
  • Andmetele ligipääsu seadistamine (RBAC)
  • Indeksite disain
  • Standartsete logiallikate liidestus 5-tk
  • Töövoogude ja dashboards tegemine 3-tk
  • Automatiseeritud reeglid ja teavitused – 3-tk
  • SIEM mooduli baashäälestus
  • Kasutajate koolitus

Plus Teenuspaket

  • LogStacki arendused ja uuendused
  • LogStack tehniline tugi
  • Uute standardsete logiallikate liidestus
  • Bytelife monitooring
  • Igakuine keskkonnaülevaade (sh opsüsteem, konteinerid jne)

Premium Teenuspaket

  • LogStack arendused ja uuendused
  • LogStacki tehniline tugi
  • Kõikide logiallikate liidestused (standard ja mitte-standard)
  • Bytelife monitooring
  • Igapäevane administreerimine (sh opsüsteem, konteinerid jne)
  • Dashboardide ja teavituste loomine
  • SIEM igakuine peenhäälestus
  • Kord kvartalis koolitused, soovi korral praktilised töötoad

Lisafunktsioonid

Terviklikkuse tagamise moodul IntegrityTerviklikkuse tagamise moodul Integrity
SIEMi peenhäälestus SIEMi peenhäälestus
Koolitused ja töötoad Koolitused ja töötoad
Dual active HA Disaster recovery Dual active HA Disaster recovery

LOGSTACK ARHITEKTUUR

LOGSTACK MOODULID

Analüüsimoodul ja SIEM

Analüüsimoodul võimaldab kogutud informatsiooni visuaalselt töödelda nii analüütikul, süsteemiadministraatoril, kui infoturbe juhil. Võimaldab infot paindlikult otsida, filtreerida, grupeerida, lihtsasti luua erinevaid agregatsoonide visuaale ning kombineerida neid dashboardideks. Kohe on kasutatavad suur hulk enamkasutatavate logitüüpide kohta käivaid vaateid ning dashboarde. Samuti sisaldab see vajalikke SIEM-i funktsioone automaatse analüüsi võimekust, ohuvoogude (threat feed) integratsioone, case-ide ja aegridade loomist. Automaatanalüüsi tarbeks on kohe kasutada üle 600 reegli, mis on tagitud üle 50 kategooriasse ning kasutavad MITRE ATT&CK raamistikku.

Edastusmoodulid

paigaldatakse logi tekitavale serverile (eelpaigaldatud LogStack serveritel), selleks on üldjuhul Elastic-u filebeat või winlogbeat, mis loovad kõrgkäideldava TLS ühenduse LogStackiga, üldjuhul Vastuvõtumooduli logstashiga ja Salvestusmooduli elasticsearchiga. Pilveserveritest logi kogumiseks võib kasutada ka pull-tüüpi edastust, kus kesksed Vastuvõtumooduli logstash moodulid ühenduvad pilveserveriga ja sünkroniseerivad logi. Edastusmoodulite paigaldamiseks ja häälestamiseks on loodud automatiseerimisvahendid, kasutakse ansible playbooke.

Vastuvõtumoodul

koosneb üldjuhul kolmest alamsüsteemist, millest igaüks on dubleeritud, eritüübiliste logide vastuvõtuks: 1. Syslogi-põhise logivoo vastuvõtuks üle TCP/UDP, puhverdamiseks ja eeltöötluseks, kasutab syslog-puhver moodulit. Seda vajavad tihti võrguseadmed. 2. TLS-turvatud logivoo vastuvõtuks serveritest ja lokaalsest syslog puhvrist, selleks on üldjuhul Elastic-u logstash. Siin toimub info normaliseerimine, muundamine ja rikastamine vastavalt vajadusele. 3. Sõltumatu lokaalse logivoo vastuvõtu moodul logstash annab stabiilse logikanali LogStack enda logide käitlemiseks.

Salvestusmoodul

koosneb eraldatud Elasticsearch funktsioonidest: master, data ja coordination, igaühte skaleeritud vastavalt parimale praktikale ja nõudmistele, näiteks 3 node per funktsioon. Andmete käideldavuse tagamine on realiseeritud +1 liiasusega, st. sama logisündmus eksisteerib vähemalt 2-s erinevas Elasticsearch teenuskonteineris, mis jooksevad erinevates (virtuaal)serverites.

AAA moodul

on integreeritud Salvestusmooduliga ja tagab minimaalse vajaliku rollipõhise ligipääsu (RBAC) igale komponendile ja/või kasutajale, kes sellega liidestuda soovib. Standardhäälestuses hoitakse LogStack-i siseste moodulite kontosid (ca 10 eelhäälestatud rolli) lokaalses andmebaasis ja inimkasutajate (3 eelhäälestatud rolli) ligipääsu juhtimiseks integreeritakse see olemasoleva välise AAA-teenuse pakkujaga üle standartse turvalise protokolli, näit. LDAPs (Microsoft AD), OpenID (Azure AD),kerberos, SAML.

Varundusmoodul

on kasutatav kahes rollis:

  • andmete varundamiseks eraldi süsteemi ja sealt taastamiseks
  • vanemate andmete arhiveerimiseks ja süsteemi tagasitoomiseks.

Varundamiseks ja arhiveerimiseks sobib ühendus välise salvestuspinnaga üle S3 või NFS protokolli. Varundus ja taastamine on võimalik suure granulaarsusega, näiteks filtreerides indeksi või kuupäeva alusel. Varundusmoodul toimib edukalt ka tiheda graafiku (15 min) ning suure arvu (1000+) indeksite ja snapshottide korral.

Paigaldusmoodul

aitab teostada LogStack esialgse paigalduse võimalikult kiiresti. See sisaldab funktsioone (ansible playbooke) nii serverite infra teenuste (gfs, docker swarm), kui ülaltoodud kesksete teenuskomponentide ja Edastusmoodulite automaatpaigalduseks ja häälestuseks.

Alertingu moodulid

võimaldavad teostada logisündmuste automaatanalüüsi ja teatud tingimuste täitumisel genereerida ka kasutajateavitusi erinevatesse kanalitesse, näit e-mail, slack, ...

PKI moodul

varustab kõik LogStack teenust pakkuvad moodulid (näit elasticsearch, logstash, ..) x.509 sertifikaatidega. Seda võib kasutada iseseisva 2-tasemelise CA-na (rCA+iCA) või liidestada olemasolevasse PKI infrastruktuuri signeeriva Sub-CA-na.

Tervikluse tagamise moodul

(integrity) signeerib kõik logikirjed SHA-ga juba enne salvestamist ning moodustab räsidest plokiahela-laadse struktuuri (SHA2). Taustaprotsess kontrollib ka selle struktuuri terviklust ja annab häiret tervikluse kadumise korral.

Sünkroniseerimismoodul

võimaldab siduda kaks autonoomselt töötavat LogStack-I (tüüpiliselt eraldi andmekeskustes või pilvedes) nii, et mõlemas on igal ajahetkel (near-real-time) olemas kogu info.

Opereerimismoodul

sisaldab LogStack igapäevast haldust ja tõrkeotsingut lihtsustavaid komponente ja skripte.

Saatke päring demovideotele

Tekkis huvi LogStack logihalduse keskkonna vastu? Meil on ettevalmistatud mitu demo videot erinevate stsenaariumitega, kuidas LogStack teenusega paigaldatud keskne logihalduse keskkond aitab tuvastada anomaaliaid nii veebiserverites (turvaintsident) kui MS Windows süsteemides (kaaperdamine ja lunavara-intsident).

SAATKE PÄRING

LOGSTACK KASUTUSJUHTUMID

Turvaosakond,

kelle jaoks on keskne logihaldus, kust on ligipääs kõikidele infrastruktuuri ja rakenduste logidele, kriitilise tähtsusega turvaintsidentide kiireks avastamiseks ning operatiivseks analüüsiks.

IT arendus ja haldusosakonnad,

kelle jaoks on oluline anda lihtsa liidesega ligipääs just sellistele logidele, mis on konkreetsele rollile oluline, näiteks Windows administraator on huvitatud vaid oma Windowsi domeeniga setud logidest.

Compliance officer,

kellele on võimalik logide baasil luua raportid ja väljavõtted tegevustest, mis ei ole vastavuses ettevõttes kehtestatud poliitikaga ning mis võimaldavad ära hoida andmelekked

Aja kokkuhoiu kasutusjuht

Sideettevõttena peame hoidma head ülevaadet oma süsteemides toimuvast. Kuigi meil on implementeeritud SIEM (turvateabe ja sündmuste haldamise) süsteem, mis toimib hea teavitussüsteemina, siis kahjuks ei ole sellest piisavalt abi meie osakondadele kiireks probleemide, ohtude ja vigade algallikate määramiseks. Selleks planeerisime kasutusele võtta keskse logihalduse, mis võimaldab tõhusalt probleemide juurpõhjusteni jõuda. Implementeerimise faasis saime aru, et meil puuduvad vastavad teadmised ja kogemused, et süsteem saada meile sobivalt tööle ja hallatud. Otsustasime teenuse kasuks, et saaksime võimalikult kiirelt ja tõhusalt paigaldatud keskse logide halduse süsteemi, mis võimaldab probleemid isoleerida enne, kui need muutuvad kriitiliseks.

Raha kokkuhoiu kasutusjuht

Oleme keskmise suurusega riigiasutus ja meie ressursid on eelarveliselt väga piiratud. Selleks, et me ei peaks pidevalt võitlema ressursinappusega meie toodangkeskkonnas, otsustasime rakendada järelevalvesüsteemi, mis annab meile ülevaate toodangkeskkonnas toimivate rakenduste ressursside kulutamisest. Aja ja lisakulutuste kokkuhoiu eesmärgil otsustasime kasutada implementatsiooniks ja edasiseks süsteemi toimimiseks partneri abi. Nüüd näeme kui mõni rakendus kulutab regulaarsest või ka ebaregulaarsest toimimisest tulenevalt liigselt alusinfrastruktuuri ressursse. Selle tõendusmaterjaliga saame pöörduda partnerite poole, kes omakorda saavad arendusi parendada vastavalt nõuetele.

Vastavuse kasutusjuht

Keskne logihaldus annab meie haigla IT, infoturbe ja äri osakondadele vaated ja aruandlusvõimalused, mida vajame, et tõestada oma vastavust sisekontrollidele ja SLA-dele. Olenemata sellest, kas turvaintsident toimub või mitte, oleme järjest suurema järelevalve all. Olemasolevad ja uued seadused seavad järjest enam auditite nõudeid, mille puhul suure teabemahu kokkuvõtmine ilma keskse süsteemita on peaaegu, et võimatu. Lisaks sellele, et logifailide analüüs on küberturvalisuse seisukohalt kriitiline, aitab see meid auditinõuete, kohtuvaidluste ja isikuandmete käitlemise kontrollimisel. Selleks, et me ei asendaks ühte tööd teisega võtsime appi kogemustega partneri, kelle teenus annab meile võimaluse oma osale keskenduda.

Turvalisuse kasutujuht

Õppeasutusena on meie süsteemis suur hulk kasutajaid ning nende haldamine on väga tülikas. Seetõttu on meile oluline viia nii paljude teenuste halduseid keskseks kui saame. Keskne logide haldus võimaldab meil juhtumeid tõhusamalt uurida ja auditeerida, kuna kõik sündmuste andmed kogutakse ühte kohta. Pahatahtlikel tegutsejatel on juba logi serverile edastatud logidest tõendeid raskem eemaldada. Lisaks kontrollib tervikluse tagamise moodul logide struktuuri terviklust ja annab häiret tervikluse kadumise korral. Saame andmeid analüüsida ja korreleerida rohkem kui ühe süsteemi kohta. Sündmuse andmetele pääseb juurde isegi siis, kui algserver on võrguühenduseta, ohustatud või kasutusest kõrvaldatud. Võtsime paigalduse ja halduse partnerilt, et vältida veel ühe teenuse halduse lisandumist tööde nimekirja.

Infoturbe kasutusjuht

Transpordiettevõttena soovime keskenduda oma põhitegevusele ja kasutame mitmeid koostööpartnereid nii muudes valdkondades kui logide halduses. Kuigi me teame täpselt, kus meie logifailid asuvad, siis meie jaoks ei ole parim tava lubada kõigile oma partnerite töötajatele ligipääsu oma toodangsüsteemidele peale süsteemi käivitamist. Parimaks lahenduseks on keskne logihaldus, mis võimaldab kasutajatel logifaile vaadelda, kuid ei vaja selleks toodangsüsteemile ligipääsu lubamist. Sellise lähenemisega hoiame oma süsteemid töökorras ja turvalised.

Statistika ja turunduse kasutujuht

Veebipoena on meie jaoks oluline näha veebirakenduse külastajate käitumist ja teada, mis klienditrendidega kaasa liikuda. See info võimaldab meil lihtsasti märgata, millal on parim aeg uudiskirja saatmiseks, millal uus veebirakenduse versioon välja anda või toode turule tuua, millal sulgeda oma sait hoolduseks või testimiseks ja veel palju muud. Lisaks kasutame logianalüüsi turundustegevuse vaatlemiseks ja mõjutamiseks. Kogudes andmeid, nagu viitavad saidid, juurdepääsetavad lehed ja konversioonimäärad, näeme kui hästi meie turunduskampaaniad toimivad ja vajadusel võtame kasutusele meetmeid nende parandamiseks.

MEIE KLIENDID

Eesti Raudtee
TalTech
Tartu Ülikool

LISATEAVE

Minimaalsed nõuded infrastruktuurile

*Minimaalne konfiguratsioon ühes saidis koosneb 3 serverist, mis vastavad järgmistele tingimustele: 2 CPU core, 12GB RAM, 40GB OS disk, 400 GB SSD, 1 TB HDD, OS: Centos 7, Alma 8.
* Täpsemad nõuded ressurssidele selguvad peale lähteülesande täpsustamist ning sõltuvad logide mahust, keerukusest, säilitusperioodidest, RBAC jpt.

Võtke Ühendust

ByteLife Solutions OÜ
Telefon: +372 633 3266
E-post: info@bytelife.com
Toompuiestee 35, Tallinn 10149
Registrikood: 11179901
KMKR: EE101003320