La Guida Completa Alla Gestione Di Log Ed Eventi
White paperSentinelLa guida completa alla gestionedi log ed eventiUn white paper del Dott. Anton Chuvakin, sponsorizzato da NetIQTutti hanno a che fare con i log, il che significa chetutti devono gestirli, non da ultimo per il fatto chelo impongono molti obblighi normativi. In questaguida, il Dr. Anton Chuvakin analizzerà la relazionetra la Security Information and Event Management(SIEM) e la gestione dei log, concentrandosi non solosulle differenze tecniche e sui diversi usi di questedue tecnologie, ma anche sull’architettura della loroinstallazione congiunta. Oltre a ciò, fornirà alcuneraccomandazioni per le aziende che hanno installatosolo la tecnologia di gestione dei log o solo SIEM peraiutarle a sviluppare linee guida volte a migliorare,ottimizzare ed espanderne l’installazione. Offrirà inoltrelinee guida per le aziende che hanno già installatoentrambe le tecnologie.
SommariopaginaIntroduzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1Funzionalità di Security, Information and Event Management . . . . . . . . . . . . . . 2Funzionalità di gestione dei log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3Comparazione ad alto livello: SIEM vs. gestione dei log . . . . . . . . . . . . . . . . . . . . 4Casi d’uso delle tecnologie SIEM e di gestione dei log. . . . . . . . . . . . . . . . . . . . . . 5Tendenze tecnologiche. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Scenario di esempio relativo a SIEM e gestione dei log. . . . . . . . . . . . . . . . . . . . . 8Architettura di gestione dei log e della SIEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Conclusioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Informazioni sull’autore . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Informazioni su NetIQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
IntroduzioneLa tecnologia Security, Information and EventManagement (SIEM) esiste sin dai tardi anni ’90,ma ha sempre generato controversie nel settoredella sicurezza per via della sua iniziale promessadi offrire “un’unica console di controllo dellasicurezza” e della sua lenta adozione daparte delle aziende di dimensioni più piccole.Recentemente, alla SIEM tradizionale si èaffiancato l’ampio uso di tecnologie di gestionedei log, mirato a raccogliere log di diversi tipi peruna grande varietà di scopi, dalla risposta agliincidenti di sicurezza alla conformità normativa,fino alla gestione dei sistemi e alla risoluzionedei problemi delle applicazioni.In questo documento analizzeremo la relazione tra la Security Information and EventManagement (SIEM) e la gestione dei log, concentrandoci non solo sulle differenze tecnichee sui diversi usi di queste due tecnologie, ma anche sull’architettura della loro installazionecongiunta. Ad esempio, per soddisfare i requisiti di registrazione del Payment CardIndustry-Data Security Standard (PCI DSS), qual è la tecnologia giusta da installare? Qualetecnologia è più adatta a ottimizzare la risposta agli incidenti e le procedure di indagine?Quale è in grado di fornire dati in tempo reale sugli attacchi? Oltre a ciò, forniremo alcuneraccomandazioni per le aziende che hanno installato solo la gestione dei log o solo laSIEM per aiutarle a sviluppare linee guida volte a migliorare, ottimizzare ed espandernel’installazione. Offriremo infine linee guida per le aziende che hanno già installato entrambele tecnologie.Gli strumenti SIEM hanno fatto la loro comparsa sul mercato nel 1997. Originariamente,loro scopo era ridurre i falsi positivi generati dai NIDS (Network Intrusion DetectionSystem), al tempo un problema quotidiano di questi sistemi. Gli strumenti erano complessida installare e utilizzare e venivano impiegati solo dalle organizzazioni più grandi, dotatewww.netiq.com1
White paperLa guida completa alla gestione di log ed eventidei programmi di sicurezza più avanzati. Nei tardi anni ’90, le dimensioni del mercato siattestavano intorno a pochi milioni di dollari mentre, secondo alcuni analisti, negli annia venire potranno raggiungere somme nell’ordine dei miliardi. Gli strumenti SIEM oggidisponibili, come NetIQ Sentinel, sono utilizzati da aziende grandi e piccole, dalle impreseFortune 1000 o Global 2000 alle PMI.Prima di iniziare la nostra analisi, è bene definire le tecnologie SIEM e di gestione deilog e spiegare in cosa si differenziano. La SIEM si occupa di: raccolta, aggregazione,normalizzazione e permanenza di log rilevanti; raccolta di dati contestualizzati;analisi, incluse correlazione e prioritizzazione; presentazione, incluse reportistica evisualizzazione; workflow e contenuti correlati alla sicurezza. Tutti i casi d’uso della SIEMriguardano la sicurezza delle informazioni, la sicurezza della rete, la sicurezza dei dati e laconformità normativa.La gestione dei log, invece, include: raccolta di log completi, aggregazione, permanenzadei log originali (non elaborati, non modificati); analisi del testo dei log; presentazione,prevalentemente in forma di ricerca ma anche reportistica; workflow e contenuti correlati.Se parliamo di gestione dei log, i casi d’uso sono tanti e coprono tutti gli usi possibili dei datidei log, sia nell’IT che in altri ambiti.La principale differenza evidenziata da quanto sopra esposto è che la SIEM è mirataprincipalmente alla sicurezza (a cui fa riferimento la prima lettera dell’acronimo) e all’usodelle diverse informazioni IT per scopi di sicurezza. La gestione dei log, invece, è mirata ailog e ai diversi usi dei dati dei log, sia in ambito di sicurezza che in altri ambiti.Funzionalità di Security, Information and EventManagementPassiamo ora a definire le funzionalità che caratterizzano la SIEM, ovvero quelle chela maggior parte dei clienti ricercherà al momento di scegliere il prodotto SIEM. Talifunzionalità sono: accolta di log e dati contestualizzati. Include la raccolta di log e dati contestualizzati qualiRle informazioni sulle identità o i risultati della valutazione delle vulnerabilità per mezzo di unacombinazione di metodi senza agente e basati su agente.Normalizzazione e categorizzazione. Conversione dei log originali raccolti in un formatouniversale che ne permetta l’uso nel prodotto SIEM. Gli eventi, inoltre, sono categorizzati in praticicontenitori classificati come “modifiche di configurazione”, “accesso ai file” o “attacco di overflowdel buffer” e così via.2SIEM:Raccolta, aggregazione,normalizzazione epermanenza di logrilevantiRaccolta di daticontestualizzatiAnalisi, inclusecorrelazione eprioritizzazionePresentazione,incluse reportistica evisualizzazioneWorkflow e contenuticorrelati alla sicurezzaSicurezza delleinformazioni, sicurezzadella rete, sicurezzadei dati e conformitànormativa
Gestione dei log:Raccolta di logcompleti, aggregazione,permanenza dei logoriginali (non elaborati,non modificati)Analisi del testo dei logPresentazione,prevalentemente informa di ricerca maanche reportisticaWorkflow e contenuticorrelatiI casi d’uso copronotutti gli usi possibili deidati dei log, sia nell’ITche in altri ambitiCorrelazione. Include la correlazione basata su regole, la correlazione statistica o algoritmica ealtri metodi che includono la correlazione tra eventi diversi e quella tra eventi e dati contestuali.La correlazione può avvenire in tempo reale, ma non tutti gli strumenti la supportano mentrepotrebbero correlare i dati cronologici dei vari database. Altri metodi di analisi dei log sono a volteraggruppati in pacchetti, sotto l’etichetta della correlazione.Notifiche e avvisi. Notifiche o avvisi generati e quindi inviati a operatori o manager. I meccanismidi avviso più diffusi includono e-mail, SMS o semplici messaggi SNMP (Simple NetworkManagement Protocol).Prioritizzazione. Include diverse funzionalità che aiutano a mettere in evidenza gli eventiimportanti rispetto a quelli meno critici. La prioritizzazione può essere eseguita correlando glieventi di sicurezza ai dati sulla vulnerabilità o ad altre informazioni sulle risorse. Gli algoritmi diprioritizzazione possono anche utilizzare le informazioni sulla gravità fornite dalla fonte originaledel log.Visualizzazioni in tempo reale. Dashboard di monitoraggio della sicurezza e display utilizzatidal personale operativo. Tali display mostrano agli analisti le informazioni raccolte e i risultati dicorrelazione in tempo quasi reale. Le visualizzazioni possono contenere anche i dati cronologiciarchiviati.Reportistica. La reportistica, anche quella pianificata, riguarda tutte le visualizzazionicronologiche dei dati che il prodotto SIEM raccoglie. Alcuni prodotti dispongono anche di unmeccanismo per distribuire i rapporti al personale addetto alla sicurezza o ai responsabili IT, siatramite e-mail che tramite un portale Web sicuro e dedicato.Workflow dei ruoli di sicurezza. Funzionalità di gestione degli incidenti, quali l’apertura dicasi e l’esecuzione di attività di indagine, oppure l’esecuzione automatica o semiautomaticadi tipiche attività per le operazioni di sicurezza. Alcuni prodotti includono anche funzionalità dicollaborazione che permettono a più analisti di collaborare sulla stessa azione di risposta.La funzionalità sopra descritta è disponibile nella maggior parte dei prodotti SIEMcommerciali presenti sul mercato. Quasi tutti questi prodotti, tuttavia, presentano puntideboli e forti, oltre che ulteriori funzionalità speciali.Funzionalità di gestione dei logIniziamo analizzando le funzionalità che caratterizzano un sistema di gestione dei log. Talifunzionalità includono: accolta dei dati di log. Include la raccolta di tutti i log utilizzando metodi senza agente o basatiRsu agente oppure una combinazione dei due. Permanenza efficiente. Se la raccolta e il salvataggio dei dati dei log non sembranorappresentare di per sé una grande sfida ingegneristica, la raccolta efficiente di gigabyte e persinodi terabyte di dati - e la loro permanenza associata alle capacità di ricerca e accesso rapido a talidati - non è un problema da poco. Dal momento che molte normative impongono termini specificiper la permanenza dei dati dei log, spesso corrispondenti a diversi anni, questa funzionalità sirivela critica per un sistema di gestione dei log. Ricerca. Si tratta del metodo di accesso primario alle informazioni di tutti i log, inclusi quelliregistrati dalle applicazioni personalizzate. La ricerca è indispensabile per l’uso dei log a fini diindagine, per la documentazione legale dei log e per la ricerca degli errori quando i log sonoimpiegati per la risoluzione dei problemi delle applicazioni. Un’interfaccia di ricerca interattiva chesia chiara e veloce è pertanto essenziale per un sistema di gestione dei log.www.netiq.com3
White paperLa guida completa alla gestione di log ed eventiI ndicizzazione o analisi dei log. Queste funzionalità sono componenti chiave di un sistemadi gestione dei log. L’indicizzazione può centuplicare la velocità di ricerca. La tecnologia diindicizzazione crea una struttura di dati chiamata indice che consente di effettuare rapidamentericerche, sia booleane che per parola chiave, nello storage dei log. Talvolta, l’indicizzazione vieneutilizzata per altre tecniche di analisi full-text. Ad esempio, può essere paragonata a una sortadi Google per i log. Poiché non tutti gli strumenti di gestione dei log supportano l’indicizzazioneoppure vengono indicate velocità di raccolta dei log che non considerano l’indicizzazione, ènecessario prestare molta attenzione alle promesse dei fornitori. eportistica e reportistica pianificata. Queste funzionalità coprono tutti i dati raccolti dalRprodotto di gestione dei log e sono simili alla reportistica SIEM. Il principale vantaggio dellareportistica - indipendentemente dal fatto che venga utilizzata per motivi di sicurezza, conformitào gestione - è che può fare o disfare la soluzione di gestione dei log. La reportistica deve essereveloce, personalizzabile e facile da usare per una vasta gamma di finalità. La distinzione traricerche e rapporti è molto netta: la ricerca agisce su tutti i log raccolti nel loro formato originale enon elaborato (la stessa modalità con cui Google tratta le pagine Web), mentre il rapporto operasu log che sono analizzati in un database (come un foglio di calcolo Excel). È necessario valutarecon attenzione la facilità con cui è possibile creare un rapporto personalizzato in uno strumentodi gestione dei log. È su questo punto che molte soluzioni si dimostrano carenti, richiedendoagli operatori di studiare gli aspetti più sofisticati delle strutture di storage dei log prima di poterpersonalizzare i rapporti.Ora passiamo alla comparazione delle funzionalità e delle caratteristiche della SIEM e dellagestione dei log ad alto livello.Comparazione ad alto livello: SIEM vs. gestionedei logNella tabella che segue sono evidenziate le aree chiave di funzionalità e le differenze tra laSIEM e la gestione dei log:Funzionalità Raccolta dei log Conservazionedei log Reportistica Analisi Segnalazionie notifiche Altre funzioni Security Information and Event Management (SIEM)Gestione dei log Raccolta dei log importanti per lasicurezza Raccolta di tutti i log, inclusi logoperativi e log delle applicazionipersonalizzati Conservazione limitata dei dati dei log Conservazione dei dati dei log analizzatianalizzatie non elaborati per lunghi periodi Reportistica incentrata sulla sicurezza, Reportistica a uso diffuso, reportisticareportistica in tempo realecronologica Correlazione, classificazione delleAnalisi full-text, assegnazione di tagminacce, prioritizzazione degli eventiReportistica avanzata incentrata sullaSegnalazioni semplici su tutti i logsicurezza Gestione degli incidenti, analisi di altri Alta scalabilità per la raccolta e ladati relativi alla sicurezzaricercaVediamo insieme come vengono utilizzate le tecnologie SIEM e di gestione dei log.4Poiché non tutti glistrumenti di gestionedei log supportanol’indicizzazione oppurevengono indicate velocitàdi raccolta dei logche non consideranol’indicizzazione, ènecessario prestare moltaattenzione alle promessedei fornitori.
Tre tipi di casi d’uso:Sicurezza – rilevazione eindagineConformità – allenormative (globale) ealle policy (locale)Risoluzione dei problemioperativi, di sistema e direte e normali operazioniRecentemente, alla SIEM tradizionale si è affiancato l’ampio uso di tecnologie di gestionedei log, mirato a raccogliere log di diversi tipi per una grande varietà di scopi, dalla rispostaagli incidenti di sicurezza alla conformità normativa, fino alla gestione dei sistemi e allarisoluzione dei problemi delle applicazioni.Casi d’uso delle tecnologie SIEM e di gestionedei logPrima di discutere l’architettura congiunta di SIEM e gestione dei log, è necessariopresentare i tipici casi d’uso che richiedono l’installazione di un prodotto SIEM da parte diun’organizzazione. Inizieremo dal livello più elevato dei tre principali casi d’uso:1. Sicurezza – rilevazione e indagine. Si tratta di quella che, a volte, viene definita la gestionedelle minacce e riguarda principalmente il rilevamento e la risoluzione di problemi quali attacchi,malware, furto di dati e altri problemi di sicurezza.2. Conformità – alle normative (globale) e alle policy (locale). Riguarda la soddisfazione deirequisiti di molteplici leggi, mandati, framework e policy aziendali locali.3. Risoluzione dei problemi operativi, di sistema e di rete e normali operazioni. Questocaso d’uso è specifico soprattutto della gestione dei log e consiste nell’indagine dei problemi deisistemi e nel monitoraggio della disponibilità di sistemi e applicazioni.A un livello più dettagliato, i casi d’uso relativi a sicurezza e conformità rientrano in diversiscenari. Esaminiamoli in dettaglio.Il primo scenario è un Security Operations Center (SOC) di tipo tradizionale. Un SOC,ovvero un centro operativo per la sicurezza, fa normalmente un uso massiccio di funzionalitàSIEM quali la correlazione e le visualizzazioni in tempo reale. L’organizzazione di un clienteSIEM sarà dotata di analisti online 24x7 impegnati nell’identificazione degli avvisi disicurezza non appena vengono visualizzati. Questo era il caso d’uso SIEM originario, quandoquesta tecnologia fece la sua comparsa negli anni ’90. Oggi questo caso riguarda solo leorganizzazioni di grandi dimensioni.Il prossimo caso d’uso è quello che viene a volte definito uno scenario di mini-SOC. In questocaso, il personale addetto alla sicurezza si avvale di visualizzazioni non in tempo reale percontrollare i problemi di sicurezza, in quanto gli analisti iniziano il loro lavoro la mattina.Gli analisti sono online solo per poche ore al giorno e revisionano gli avvisi e i rapporti inbase alla necessità e non in tempo quasi reale - salvo nei casi in cui si verifichino degli eventimentre gli analisti sono collegati al prodotto.Il terzo scenario riguarda un SOC automatizzato in cui un’organizzazione configura la suaSIEM in modo che generi avvisi sulla base di determinate regole e quindi non si occupa delprodotto fin quando non viene generato un avviso. Gli analisti non accedono mai al prodottowww.netiq.com5
White paperLa guida completa alla gestione di log ed eventia meno che non vi sia la necessità di investigare sugli avvisi, revisionare i rapporti su basesettimanale o mensile o eseguire altre attività non di routine. Questo è il tipico caso d’usoper molte piccole organizzazioni e sono pochi i prodotti SIEM in grado di soddisfare questaesigenza - e comunque non senza un notevole intervento di personalizzazione. Vale la penaaggiungere che molti prodotti SIEM vengono venduti con l’aspettativa di rappresentare unSOC automatizzato, ma raramente questa aspettativa viene soddisfatta.Le tecnologie di gestione dei log sono presenti anche in scenari non strettamente legati allasicurezza. La risoluzione dei problemi delle applicazioni e l’amministrazione del sistemasono altri due importanti casi d’uso per i sistemi di gestione dei log. Una volta installatal’applicazione e configurata la registrazione, il sistema di gestione dei log viene utilizzatoper sottoporre rapidamente a revisione errori e log di eccezioni. Oppure per revisionarei riepiloghi della normale attività dell’applicazione allo scopo di stabilire lo stato diquest’ultima e risolverne le eventuali irregolarità.Uno scenario che rientra in questa categoria è la reportistica sullo stato di conformità. Quianalisti o manager della sicurezza revisionano i rapporti allo scopo di rilevare eventualiproblemi di conformità. La revisione viene condotta a cadenza settimanale o mensileo in base a quanto indicato da uno specifico regolamento e non a scopo di sicurezza odi operatività. Questo caso d’uso rappresenta solitamente una fase di transizione chele organizzazioni sperimentano prima di diventare più mature e passare a uno dei casisummenzionati. Gli strumenti di gestione dei log sono quasi sempre installati per questotipo di scenario, ma non è raro che un prodotto SIEM venga utilizzato anche per fini diconformità. I requisiti di permanenza a lungo termine dei log rappresentano spesso unasfida per l’installazione.Dal momento che i log sono molto importanti ai fini degli obblighi di conformità, osserviamonel dettaglio alcune leggi.PCI-DSSLo standard Payment Card Industry Data Security (PCI-DSS) si applica alle organizzazioniche gestiscono transazioni con carte di credito e obbliga alla registrazione di dettaglispec
La guida completa alla gestione di log ed eventi Un white paper del Dott. Anton Chuvakin, sponsorizzato da NetIQ Tutti hanno a che fare con i log, il che significa che tutti devono gestirli, non da ultimo per il fatto che lo impongono molti obblighi normativi. In questa guida, il Dr. Anton Chuvakin analizzerà la relazione
2. Tasto regolazione altezza lama 3. Tasto ON/OFF 4. Display ( indicatore di carica 20/40/60/80/100 % , simbolo in carica, simbolo blocco) 5. Cappuccio di protezione o pettine regolabarba 6. Pettine guida 4-6 mm 7. Pettine guida 7-9 mm 8. Pettine guida 10-12 mm 9. Pettine guida 16-18 mm 10. Pettine guida 22-24 mm 11. Pettine guida 28-30 mm 12.
Ordini al minuto: per un sito di retail online, . Guida completa ai test delle performance per le app e i siti web del settore retail 4 . piani di capacità, copertura del monitoraggio e singoli piani di test che vanno a comporre un aspetto del ciclo di sviluppo del software dedicato alla gestione delle performance.
BANDO DI CONCORSO BORSE DI STUDIO “SUPERMEDIA” in favore di figli o orfani ed equiparati -degli iscritti alla Gestione unitaria delle prestazioni creditizie e sociali; -dei pensionati utenti della Gestione dipendenti pub-blici; -degli iscritti alla Gestione assistenza magistrale; -dei dipendenti del Gruppo Poste Italiane S.p.A. e dei dipendenti ex Ipost, sottoposti alla trattenuta mensile
Guida CEI 0-10 - Guida alla manutenzione degli impianti elettrici.21 1.11. Guida CEI 64-14 - Verifiche degli impianti utilizzatori. 22 1.12. Guida CEI 0-14 di applicazione al D.P.R. 462/01 per le verifiche degli impianti elettrici - semplificazione del procedimento per .
Guida completa alla compilazione del cedolino paga 3 ndice INDICE Introduzione.pag. 11 Sezione Prima - ASPETTI GENERALI I campi del cedolino paga.
Guida completa alla protezione dei dati forcepoint.com 2 Panoramica Per certi aspetti, il rapporto tra sicurezza dei dati e performance aziendali è una storia vecchia quanto il business. Dopotutto, la forma più semplice di vantaggio competitivo è la capacità che ha un’azienda di proteggere il suo “ingrediente
GUIDA RAPIDA DELL'APPLICAZIONE SID - GESTIONE FLUSSI CRS-DAC2 VERSIONE 2.0.0 PAG. 4 DI 23 30 DICEMBRE 2020 Diffusione limitata 2. INSTALLAZIONE DELL'APPLICAZIONE L'applicazione "SID - Gestione flussi CRS-DAC2" necessita per la sua installazione della presenza sulla postazione di lavoro della JVM versione 1.7. o successive integrata con le policy java indispensabili per la .
The HRMS user’s guides are available online. All Oracle Applications user’s guides are available online, in both HTML and Adobe Acrobat format. Most other Oracle Applications documentation is available in Adobe Acrobat format. The HTML version of the HRMS user’s guides are optimized for
