Security Monitor and Auditing & Event Management Franco Rasello Angelo Bianchi Integra Spa
IT Security: Le componenti fondamentali A uthentication A uthorization InSight A dministration A UDIT
La Sicurezza: un processo continuativo Improve
Audit Alerts Status Event Logs Auditing: monitoring and recording
Troppi sistemi e report diversi Reports
1 – Distribuzione geografica Problematiche del monitor della sicurezza 2 – Autorizzazioni 3 - Interpretazione 4 - Dimensioni 5 - Correlazione Leggere i log di sistema e delle applicazioni (capacità di comprendere linguaggi diversi) Collegarsi ai sistemi interessati con privilegi di amministratore (diffusione di login e password di utenti amministratori) Correlare i diversi eventi provenienti da diversi sistemi (lavoro di investigazione e correlazione su di una mole enorme di dati) Lavoro difficilmente delegabile a personale non specializzato Impegno dei migliori sistemisti
La Soluzione – InSight Security Manager
soluzione per gestione centralizzata log di sicurezza unico linguaggio di interpretazione log filtri sui log (w7) InSight Security Manager supporto multipiattaforma evidenzia automaticamente le violazioni alla security policy Repository su DB relazionale Operating Systems Intrusion Detection Systems Firewall Business Applications Anti Virus Software
InSight /Monitoring Audit Department Security Officer Archivio Data Base Archivio Off-line CeA Server Actuator Data Collection Real Time data (SNMP Traps) Real Time Mail Alerts Failure Exception Attention Remote Web based Reports IT DepartmentCEO Management
Architettura modulare
Un esempio CeA/Management Console CeA/Server CeA/iView CeA/Management Console CeA/Consolidation Server GEM DB CeA/Management Console CeA/Server CeA/Actuator GEM DB CeA/iView semplicecomplesso
Generazione di allarmi (real time monitoring) Critical Event Notification Severity based, Event based Alerts Notification of Reports
Alcune delle piattaforme supportate Management Console, Server, iView Windows NT/2000 Actuator IBM OS/390, z/OS, OS/400 Microsoft Windows NT/2000 AIX SUN Solaris HP-UX Compaq Tandem Safeguard OPICS Linux (Red Hat) ISS TrendMicro Cisco Check Point BIM Microsoft IIS Apache Sap R3 Microsoft Exchange Lotus Notes Netegrity SiteMinder iPlanet Citrix Oracle Sap R/3 ISS Realsecure, ISS Internet Scanner, ISS System Scanner User Applications
InSight Management Console System Management
InSight Management Console DB Management
InSight/IView – Analisi immediata tramite una vista generale
Il Sommario degli Eventi
Il dettaglio del singolo evento
Le violazioni alle policies
Attention Summary
La reportistica
Definizione delle Audit Policies
Benefici InSight Event Manager Eventi di Sicurezza multi-piattaforme correlati e normalizzati Minimizza i rischi legati alla sicurezza Riduce i costi e aumenta l’efficienza Rafforza ed accresce le Security Policy Protegge i beni aziendali
GRAZIE!!! Franco Rasello Angelo Bianchi Integra Spa