Elastic Stack : log 即時分析與警示平台

 

網路安全解決方案:Elastic Stack : log 即時分析與警示平台
簡介應用 | 效益 | Why LinuxYes | 適用企業 | 相關方案 | 我要購買
簡介

隨者網路設備與伺服器大量增加,傳統登入到每台網路設備查看log已經變的不具效率。公司內擁有日誌伺服器(log sever)的好處是,可以將所有設備的log集中管理,並對log產生分析報表或設定警示通知。例如當電子商務網站遭受SQL Injection 攻擊,經由應用程式防火牆收集到攻擊記錄,並傳送到log server。假設log server 設定如有SQL attack 的字眼,將會立即mail通知系統管理人員。或是當網管人員查看mail server report時,發現寄送郵件數量突然暴增,有可能是某些帳號,正在發送大量垃圾信,這時候就可以到log server 查閱發信來源,即時加以更正。另外一種狀況是程式開發人員發現有不明程式被植入,這時候就可以調閱log server,查看有哪些IP讀取這些不明程式的記錄,可能是駭客試者入侵本機或其他系統並發動攻擊,這時候就可以要求網管人員對此IP作封鎖。

除了安全的考量外,將設備的log 做分析,也是能發現一些意想不到的好處。例如員工常抱怨上網速度慢,但網管人員卻不知問題出在哪裡,藉由查閱防火牆的網路流量,並分析log,可能就可以查出,有某些電腦中毒,正在發送大量封包到防火牆,拖垮整個網路速度。

Elastic Stack

本方案採用開放原始碼Elastic Stack(Elasticsearch、Kibana、Logstash 及 Beats)是解決搜索、紀錄、保安分析、指標分析、營運分析等任務為首的關鍵應用,更被用作建立實時及可擴充的數據應用程式。

應用
  • 電子商務網站客戶的行為分析,何時是下單量的高峰,又 哪些商品被點閱最多次,這都可以讓店家調整商店擺設,讓整體營運價值最佳化。或是當某種網路設備不正常運作,就可以調閱log server 的紀錄作分析,找出影響效能緩慢的原因。
  • 有些駭客入侵會很聰明的移除log 紀錄,所以如果有log server 設置,就可以還原真像。
  • 個資法中對個人資料的保護有明確的規定,公司因為系統 被入侵而洩漏個資,如果沒有log server 做完整分析,可能駭客已將log 移除,無法查出原因。所以log server 可以說是保護個資的最後一道防線,讓公司營運系統能夠留下完整記錄,避免事件發生後,無一有效的工具做查詢及佐證。
  • 在系統遭受攻擊時,網管人員如果能夠第一時間收到警示 e-mail,就可以在防火牆立即阻擋,減少被攻擊成功的機會。很多資安設備可以錄下攻擊紀錄,但沒有即時通知的機制,藉由log server的程式後端等分析工具,都可以達到即時警示的目的。

範例 : 

下面這個範例顯示將各網站WAF(web application firewall)及pushmail 平台所蒐集到的數據匯入log 分析平台,左圖上是這個月未經授權登入的統計曲線圖,左圖下是所有被WAF阻擋的統計曲線圖,右邊圖上是所有對網站發動SQL-Injection 攻擊的統計次數,右邊圖下是所被網站禁止存取的統計次數。我們可以設定Alert e-mail,例如SQL-Injection 次數較前一小時突然暴增3倍或是被WAF 阻擋次數超過100次,這可以讓系統網管人員即時知道是否目前有異常攻擊,可以確認IP來源,在防火牆上即時阻擋。

 

 

系統管理人員收到 SQL Injection Alert mail即時察看網站WAF(web application firewall),的確有網路攻擊,這時就可以立即確認IP來源並在防火牆做封鎖。

WAF

效益

貴公司若選擇使用log 分析與警示,可協助貴公司:

提高整體資訊安全
  • 凡走過必留下痕跡,有了log 分析與警示 就可以完整記錄事件發生的過程,對突發事件能做完整的分析與警示。
了解系統效能緩慢的原因
  • 很多系統開始出現故障或效能緩慢等原因,其實都會發出一些有參考價值的log。 網管人員如果可以善用這些log 做分析,就可以提前預防硬體失效等意外事件。
Why LinuxYes

LinuxYes的Elastic Stack log 分析與警示解決方案, 擁有下列優勢:

  • LinuxYes 對 linux系統及應用程式的log 有完整的了解,可以幫助客戶對特定的程式log做收集並分析
  • 與 Elastic Stack  (Elasticsearch、Kibana、Logstash 及 Beats)的社群資源做整合,提供客製化的服務。
適用企業

任何企業需要完整記錄營運系統所產生的資料,並進而作分析與警示。
相關方案

建議貴公司可再購買下列方案,搭配日誌伺服器架設服 務,以紮好e化基礎:

我要購買

1. 直接購買:請至 LinuxYes 購物網站購買
2. Skype 線上客服:linuxyes.service  Skype me
3. 直接與業務人員討論需求:請加 Line ID: linuxyes
4. 使用電子郵件詢問:Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它