IT ist kein Glücksspiel! - tibco.comevents.detibco.comevents.de/fastdata/followup/pdf/track1/2015OCT_FastData...verlassen wir uns auf das Logmanagement von TIBCO LogLogic und die

IT ist kein Glücksspiel!

mit TIBCO LogLogic verborgene

Informationen nutzen

© DICOS GmbH Kommunikationssysteme

22.10.2015 © DICOS GmbH Kommunikationssysteme 2

Quelle Wikimedia/Holger Weinandt

Freundliche Grüße aus Koblenz

Unser Geschäft ist das Glücksspiel. Da wir es uns in

der IT nicht leisten können, auf Glück zu vertrauen,

verlassen wir uns auf das Logmanagement von TIBCO

LogLogic und die Unterstützung von DICOS.

Jetzt haben wir endlich den richtigen Einblick in unsere

Daten, unterstützen das Troubleshooting, erstellen

Reports und der Nachweis unsrer Compliance ist

deutlich einfacher geworden!

Marleen Masur von Lotto Rheinland Pfalz


Wer ist DICOS?

Spezialisten für alle Themen rund um Infrastruktur-, Systems-, Netzwerk-, Logmanagement

Langjährige Erfahrung im Consulting und der Softwareentwicklung

Als TIBCO Partner in Deutschland seit fünf Jahren auf LogLogic fokussiert


TIBCO LogLogic

Was ist TIBCO LogLogic?

LogLogic schafft die Verbindung zwischen den Maschinendaten und deren geschäftlichen Wert

Was ist der Nutzen?

LogLogic findet die kritischen Information, die in

großen Datenmengen versteckt liegen und

versetzt den Anwender in die Lage, darauf schnell

zu reagieren.

© Copyright 2000-2014 TIBCO Software Inc.


Zufällig entstandene

Punkt-zu-Punkt-Architektur

Service Level

Assurance Compliance Security

Business Activity

IT Operations

Cloud



Können Sie auf der Basis

einer solchen Architektur …

• wissen, ob die Rohdaten unverändert erhalten bleiben?

• sagen, welche Daten wo überhaupt gespeichert sind?

• herausfinden, wie verschiedene Ereignisse aus

unterschiedlichen Quellen zusammen hängen?

• sagen, was vor einem Jahr passiert ist?

• durch jedes beliebige Ereignis bzw. Kombination von

Ereignissen einen Alarm auslösen?

• automatisch Reports für jede Abteilung erzeugen?

• Angriffe sofort erkennen und ggf. vorhersagen?

• zentral nach einem Ereignis unternehmensweit suchen?


Die Alternative:

Operations Intelligence Plattform

Cloud

Cloud


Service Level Assurance Compliance Security

Business Activity IT Operations


Der Nutzen


Wie LogLogic funktioniert

• Enterprise-Class-Skalierbarkeit , Sicherheit,

leistungsstarke Sammlung, Übertragung und Speicherung

Logging-System wird zum “Hub”, in dem alle

Logs gesammelt und gespeichert werden

Logs werden identifiziert und gefiltert

Relevante Logs werden gesammelt,

normalisiert und den Abnehmern zur

Verfügung gestellt:

• Flexible Suche

• Audit/Compliance-systeme

• Graphische Darstellung, Visualisation

• Forensic und Troubleshooting

Geschäftskritische Logs werden langfristig

gespeichert. Andere nur Tage oder wenige

Wochen lang. © Copyright 2000-2014 TIBCO Software Inc.


Normalisierung

• May 2 23:06:14 app-1 login[5130]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=tty1 ruser= rhost= user=timothy

• "<13>Feb 5 08:34:55 10.92.2.188 MSWinEventLog 0 Security 106236353 Fri Feb 05 08:33:15 2010 529 Security SYSTEM User Failure Audit OHAEPHQDC009 Logon/Logoff Logon Failure: Reason: Unknown user name or bad password User Name: timothy Domain: Logon Type: 3 Logon Process: CISCO Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Workstation Name: CISCO Caller User Name: portal Caller Domain: CORP Caller Logon ID: (0x0,0x63194519) Caller Process ID: 2972 Transited Services: - Source Network Address: - Source Port: - 1679136992"

• Jun 11 10:51:04 10.0.0.244 Jun 11 10: 51:42 1,06/11 10:51:42,0001a100200,TRAFFIC,start,24,06/11 10:51:15,10.0.0.101,10.0.0.246,0.0.0.0,0.0.0.0,timothy,,,dns,vsys1,l2-lan-trust,l2-lan-untrust,ethernet1/12,ethernet1/11,Forward to Timothy,06/11 10:51:42,2074963,1,54604,53,0,0,0x0,udp,allow,80,80,80,1,06/11 10:51:16,0,any,0

Source Type

User User Name

SRC User

Unix timothy

Windows timothy

Firewall timothy

Source Type User

Unix timothy

Windows timothy

Firewall timothy

• Unix • Windows • Firewall



Korrelation

• über alle Logsources

• aktuelle und historische Daten

• Erkennung von Fehlern, Trends und Angriffen

Failed login

Failed login Failed login

Failed login

Aggregation

Viele

“failed

login”

Versuche

Erfolgsreiches

Login Aggregation Erfolgsreiches

Login

Admin

Aufgaben Aggregation

Privilegierte

Aktionen

Entdeckter

Angriff!


Anwendungsfälle

IT Betriebsmanagement

• System Usage & Uptime-

Analyse

• Applikationsbetrieb,

Development &

Deployment Change

Control

• Applikations- und

Netzwerk- Performance

Monitoring

• Troubleshooting

Betriebsanalyse

• Kontinuierlicher Betrieb &

Optimierung

• Asset Integrity

• Voraussetzung

Überwachung

• Ursachenanalyse von

Ausfällen

• Fehlerprognose /

Zuverlässigkeitsanalyse

von Anlagen

Business Activity

Monitoring

• Track & Trace

• Business Process

Monitoring & Analyse

• Website & On-Line

Leistung

• Sensor-Überwachung,

Analyse, & Optimierung

Anwendungen

• Strategie- und IT-Planung

• Sicherheit und

Cyberthreat- Analyse

• Risk Management

• Security und Network

Operations Centers

• Analytics



LogLogic bei den Lottogesellschaften

• 3 deutsche Lottogesellschaften setzen Logmanagement

von TIBCO LogLogic ein

• Alle sind nach WLA zertifiziert (World Lotto Association)

• Alle haben besondere Anforderungen an die IT-Security

• Alle sind ein interessantes Ziel für Angreifer


Herausforderungen

• Weder zentrales noch

vollständiges Logging

• Keine automatische Auswertung

der Log-Daten möglich

• Aufwändige Fehlersuche

• WLA Compliance einhalten und

nachweisen


WLA-Compliance

• Branchen-Spezifische Erweiterung der ISO 27001

• Schreibt u.a. vor:

• Logging für den Nachweis von: Aktivitäten der Nutzer,

Sicherheitsvorfällen, Sonderfällen, etc.

• Schutz der Logdaten vor Zugriff und Veränderung

• Logging von Fehlern, damit Gegenmaßnamen ergriffen werden

können


• unterstützt das Troubleshooting

durch Suchen und Reports

• Unterstützt ihre WLA-Compliance

mit der ISO Compliance Suite

• Erkennt Angriffe und ermöglicht

Reaktionen, bevor ein Schaden

entsteht

TIBCO LogLogic bei

Lotto Rheinland-Pfalz


Mit TIBCO LogLogic

• Speichern Sie Rohdaten langfristig revisionssicher

• Alle Daten liegen in einem zentralen System

• Finden Sie mit Cross Device Correlation

Zusammenhänge zwischen den Ereignissen

• Können Sie alle Ereignisse jederzeit schnell finden

• Alarmieren Sie jedes wichtige Ereignis

• Erzeugen Sie automatisch Reports für jede Abteilung,

Anwendung, Audits

• Erkennen Sie Angriffe, bevor sie Schaden anrichten

• Haben Sie den unternehmensweiten Überblick


Skalierbarkeit

• Für den kleinen Mittelstand bis zum Großunternehmen

mit vielen Standorten weltweit

• Virtuelle Appliance oder Hardware Appliances

• Funktionale Skalierung:

• Logmanagement Intelligence für z.B. Datensammlung,

Indizierung, Suche, Reports, Alarmierung, einfache Korrelation,

Compliance, Darstellung

• Unity für z.B. Cross-Device Korrelation, Anreicherung, komplexe

Suchen,

• Visual Analytics für Dynamische Reports, dynamische und

flexible Darstellung


TIBCO LogLogic Referenzen


Und was können wir für Sie tun?

© DICOS GmbH Kommunikationssysteme

Michael Troitzsch

[email protected]

Kirsten Kunz

[email protected]

www.dicos.de

Documents

IT ist kein Glücksspiel! - tibco.comevents.detibco.comevents.de/fastdata/followup/pdf/track1/2015OCT_FastData...verlassen wir uns auf das Logmanagement von TIBCO LogLogic und die