O-STA

Hexis HawkEye AP za zbiranje, hranjenje in analizo masovnih podatkov

Hexis, ponudnik naprednih rešitev za zagotavljanje kibernetske varnosti z orodji za obdelavo masovnih količin podatkov in sprotno ukrepanje, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,

predstavljata Hexis HawkEye AP (Analytics Platform) - vodilno rešitev za učinkovito zbiranje, dolgotrajno hranjenje in celostno analizo masovnih podatkov (big data).


HawkEye AP je varnostna rešitev še posebej namenjena strankam, ki se ubadajo z vse pogostejšim problemom zbiranja in obdelave masovnih količin podatkov. To so najpogosteje dnevniški zapisi ali varnostni dogodki iz vseh mogočih virov, lahko tudi druge vrste strukturiranih ali nestrukturiranih podatkov. Na spodnji sliki je logična shema tega produkta. Stolpec na levi strani predstavlja množico različnih informacijskih sredstev, ki so viri masovnih podatkov, le-te na tej strani zbira Hawkeye AP Collector; več o pridobivanju podatkov bomo povedali kasneje. Zbrane podatke zapisuje v podatkovno bazo sestavljeno iz gruče (cluster) elementov EDW - Event Data Warehouse, ogledali si bomo tudi prednosti EDW pred klasičnimi rešitvami za masovne podatke in upravljanje dnevniških zapisov. Ker pa si s tako zbranimi in hranjenimi podatki pogosto ne znamo pomagati, je HawkEye AP opremljen še z naprednimi analitičnimi orodji - iskalniki, poročili, preglednicami in orodji za kreiranje lastnih vsebin, s pomočjo katerih lahko varnostni analitik uspešno razreši problem in sestavi poročilo za nadrejene; ob tem je pomembno tudi vedeti komu oz. za katere uporabne primere je ta rešitev najbolj namenjena, seveda bomo napisali tudi to.

SLIKA 1 (spodaj)

· Prilagodljivo zbiranje podatkov o vseh vrstah dogodkov
· Poenostavljeno zbiranje dnevniških zapisov brez agentov
· Podatkovno skladišče za masovne količine informacij vseh vrst
· Na gruči strežnikov in stolpični arhitekturi temelječa podatkovna baza
· Masivna vzporedna obdelava velikih količin podatkov
· Zmogljiva in hitra analitična orodja
· Bogata poročila in preglednice

Zbiranje podatkov

V HawkEye AP namestitvi je Collector naziv programskega modula za zbiranje podatkov - dnevniških zapisov in drugih informacij iz dnevniških izvorov ali na primer neposredno iz podatkovnih baz:

SLIKA 2 (spodaj)

· HawkEye AP lahko sprejema in hrani vse vrste podatkov opremljenih s časovnim žigom (timestamp), v izvorni obliki, ne glede na strukturo, pravzaprav je ta rešitev še posebej primerna za nestrukturirane podatke.
· Zbiranje podatkov je učinkovito in razširljivo, potrjeni primeri praktičnih namestitev pri strankah nimajo prav nobenih težav z zbiranjem 1.5 Tb in več zapisov dnevno.
· Podpira več kot 300 izvorov vključujoč Windows, Check Point, Cisco ACS Radius, Cisco IronPort, Blue Coat, MS DHCP, MS IIS, MS SQL Server, F5 Load Balancer, CA SiteMinder, MS Exchange, Airwave, in druge.
· Za 'doma' narejene aplikacije ali direktno še ne podprte izvore je na razpolago razvojno ogrodje, s katerim si lahko vsaka stranka z malo truda implementira podporo za katerikoli izvor.
· HawkEye AP ohranja podatke v stoodstotno originalni obliki.
· Podatki se iz originalnih naprav in aplikacij pobirajo brez zahtevnega nameščanja posebnih agentov, podpira obe metodologiji pobiranja podatkov - push (SYSLOG, SNMP, HTTP(S), (S)FTP...) in pull (SCP,RCP, (S)FTP, SMB(Windows), LEA, SDEE, DBMS...).
· Na razpolago je opcijski agent, ki je lahko zelo priročen za namestitev v DMZ, saj običajno želimo čim manj strežnikom v DMZ-ju odpreti povezavo do internega omrežja.
· Vmesniki za neposredno pobiranje zapisov iz podatkovnih baz.
· Enostavna povezljivost s SIEM rešitvami kot je HP ArcSight; SIEM je lahko prejemnik dnevniških zapisov od HawkEye AP kadar jih je toliko, da jih ni zmožen obdelati in jih je treba filtrirati; po drugi strani je SIEM lahko tudi izvor podatkov - korelacijski dogodki so rezultati analize dogodkov znotraj SIEM.
· Revizijska sled.

Hranjenje podatkov

V osrčju HawkEye AP je zmogljiva podatkovna baza za časovno neomejeno hranjenje masovnih podatkov, ki je narejena in optimizirana posebej za tovrstno rešitev.

· EDW - Event Data Warehouse je podatkovna baza za hranjenje masovnih podatkov. HawkEye AP uporablja gručo (cluster) dveh ali več EDW jeder, ki omogočajo samostojno porazdeljevanje bremen in zagotavljajo visoko zanesljivost.
· Strojna oprema je lahko popolnoma standardna.
· Baza temelji na stolpični arhitekturi, medtem ko tradicionalne rešitve za obdelavo dnevniških zapisov še vedno uporabljajo relacijske podatkovne baze z vrstično arhitekturo. Stolpčna arhitektura omogoča zelo hitro enkratno vpisovanje in nato preiskovanje po milijardah vnosov, relacijska pa predvsem spreminjanje in obdelavo podatkov, kar pa je za to področje nepomembno in neuporabno. Stolpična arhitektura omogoča večjo, desetkratno kompresijo podatkov.
· SQL - Structured Query Language.
· V praktičnem kolju z več kot 1.5 Tb vnosi na dan izvajajo po 1000 povpraševanj vsak dan, rešitev deluje zelo uspešno in odzivnost se meri v sekundah ali minutah, ne pa v urah ali dnevih, kot je to pogosto pri klasičnih arhitekturah.
· Časovno particioniranje podatkovne baze pomeni dodatno optimizacijo, ni indeksov, kot v relacijskih bazah, z razponom čez celo tabelo podatkov in požrešnostjo po delovnem pomnilniku.
· HawkEye AP ne uporablja vnaprej določene podatkovne sheme, vsi podatki se hranijo v izvorni popolnoma nespremenjeni obliki. Vpisovani podatki se ne normalizirajo, v skupno normalizirano obliko se preoblikujejo šele po povpraševanju, ko jih sistem predstavi uporabniku.

· V pomoč pri zagotavljanju skladnosti in ohranjanju revizijske sledi:
- sledljivost od kreiranja dogodka do nalaganja v bazo in do prikazovanja,
- ni normalizacije,
- učinkovito shranjevanje nestrukturiranih podatkov,
- zapis se ohrani v stoodstotno izvorni obliki,
- odsotnost funkcionalnosti brisanja ali spreminjanja podatkov.

· Stolpčna arhitektura je primerna za forenzične analize, hitra preiskovanja ogromnih količin podatkov in kot dobra podlaga za napredno poročanje.

Analitična orodja

Ko imamo masovne podatke enkrat v bazi, je treba z njimi početi nekaj uporabnega. Hexis nam v ta namen ponuja analitična orodja in poročila.

· SQL - korelacije in analize podatkov lahko delamo s popolnoma standardnim jezikom podatkovnih baz SQL;
- takojšnji dostop do leto dni ali še starejših podatkov,
- izpis podatkov v sekundah ali minutah.

· Grafični prikazi rezultatov.

· Interaktivni rezultati in prikazi omogočajo raziskovanje.

· Varnostne preglednice (dashboard) za potrebe SIEM.

· Enostavne analize dolgotrajnih trendov.

· Odprtost - mogoč dostop do podatkovne baze za analitična orodja drugih proizvajalcev skozi standardne vmesnike ODBC / JDBC.

Poročila

SLIKA 3

Tudi za največje organizacije primerna poročila so že vključena v ponudbo rešitve HawkEye AP. Uporabniki si lahko izdelujejo svoje vsebine, sistem pa je odprt in omogoča uvažanje vsebin, ki so jih pripravili drugi ponudniki. Skozi ODBC / JDBC povezave je mogoče pripravljati poročila tudi v zunanjih orodjih drugih ponudnikov, ki znajo izkoriščati raznolike baze podatkov.

  • Skladnostna in revizijska poročila.
  • Vgrajena, uporabniška in zunanja poročila, dostopnost za zunanja orodja.
  • Mejniki in poročila o kršitvah.
  • Poročila specializirana za posamezne tipe izvorov dnevniških zapisov.
  • Sistemska poročila in preglednice, administracija.
  • Fleksibilno upravljanje uporabniškega dostopa do podatkov in poročil.

Potencialni uporabniki

Rešitev Hexis HawkEye AP je lahko še posebej koristna za naslednje organizacije.

· Za operaterje mobilne ali stacionarne telefonije, ki morajo zaradi uradnih zahtev za leto ali dlje hraniti ogromne količine podatkov o telefonskih klicih (CDR - Call Data Record) in občasno na podlagi uradnih zahtevkov preiskovati to zelo veliko bazo in pripraviti poročilo o posamezni telefonski številki.
· Za telekomunikacijske operaterje in predvsem operaterje IP omrežij, ki morajo podobno kot telefonski operaterji hraniti podatke o podatkovnih povezavah (IPDR - IP Data Record).
· Za vsa druga podjetja, ki morajo zaradi evropske direktive hraniti podatke o komunikacijskih povezavah v svojih omrežjih.
· Za uporabnike SIEM rešitev - na primer v namestitvah, kjer SIEM rešitev nima možnosti za dolgotrajno hranjenje velikih količin podatkov, ali pa tam, kjer podatki prihajajo tako intenzivno, da jih SIEM ne more obdelati, zato se HawkEye AP postavi med SIEM in izvore in do SIEM-a posreduje podatke manj intenzivno, le tiste, ki so za SIEM res koristni.
· Zdravstvene ustanove in vse druge organizacije v Sloveniji in drugih deželah, ki morajo zaradi Zakona o Varovanju Osebnih Podatkov in podobnih predpisov zbirati in hraniti ogromne količine podatkov.

SLIKA 4 (spodaj)

Primeri uporabe HawkEye AP

Dolgotrajno hranjenje zapisov o dogodkih
Zakonsko predpisano hranjenje podatkov
Zaznavanje groženj od znotraj
Zaznavanje internih goljufij in kršitev
Varnostni nadzor
Standardizacija, tveganja, skladnost
Za potrebe kadrovske službe
Za potrebe pravne službe
Preiskave kršitev avtorskih pravic in dostopa
Forenzične preiskave
Zaznavanje vzorcev
SMTP fišing
Podpora odločanju
Sprotne analize in preiskave


Avtor / prevod: Robert Lubej

Povezava do domače strani:

http://www.hexiscyber.com/products/hawkeye-ap

### ### ###

O podjetju Hexis Cyber Solutions, Inc.

Hexis je ponudnik naprednih rešitev kibernetske varnosti za gospodarske družbe, vladne agencije in obveščevalne skupnosti. Glavno poslanstvo podjetja je opremljanje poslovnih IT okolij z orodji in zmogljivostmi za odkrivanje, zoperstavljanje in odstranjevanje tako zunanjih kot tudi notranjih kibernetskih groženj.

Hexis Cyber Solutions Hawkeye je družina izdelkov z aktivnim, multi-discipliniranim pristopom za doseganje višje ravni kibernetske varnosti. Tehnologija temelji na strokovnem znanju pridobljenem med izvajanjem podpore v kibernetski varnosti in kibernetskem vojskovanju za nacionalne agencije. S te znanjem lahko izdelujejo rešitve, ki zagotavljajo, da lahko podjetja vseh vrst in velikosti nemoteno obratujejo z maksimalno produktivnostjo. Zmogljiva tehnologija za hitro obdelavo masovnih količin podatkov je nadgradnja ali dodatek na SIEM tehnologije, ki omogoča hitro sprotno odkrivanje nevarnosti in bliskovito proti-ukrepanje, hkrati pa je tudi v dobrodošlo pomoč pri zagotavljanju skladnosti in še čem. NetBeat je družina rešitev za spremljanje, analiziranje in upravljanje omrežij, ki vključuje tudi orodje NAC za upravljanje dostopa do omrežja .

Več o podjetju in rešitvah najdete na spletnih straneh: http://www.hexiscyber.com/


Dodatne informacije:

Daniel Bednjički, projektni vodja
daniel.bednjicki@real-sec.com

REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74
http://www.real-sec.com
info@real-sec.com