Bieżące przeglądanie zdarzeń jest najbardziej przydatne dla osób odpowiedzialnych za bezpieczeństwo sieci, natomiast na potrzeby raportowania zebrane dane mogą być przedstawione w postaci bardziej przystępnej. W S.E.L.M. można tworzyć raporty:

• raporty dotyczące działania użytkowników;

• poglądowe raporty dotyczące pracy monitorowanych komputerów;

• szczegółowe raporty dotyczące działania monitorowanych komputerów.

Każdy z raportów można dostosować do własnych potrzeb, np. można określić przedział czasowy, z jakiego dane są zebrane. Oprócz raportów i wykresów standardowych można utworzyć własne - w S.E.L.M. wbudowano motor raportowy Crystal Reports.

Archiwizacja danych w programie odbywa się w ten sposób, że dane z bazy bieżącej, np. Microsoft Access, są przenoszone z zadaną częstotliwością do firmowej "dużej" bazy danych, np. SQL Server, a w tym czsie baza bieżąca jest czyszczona. Producent poleca przyjęcie okresów 14-dniowych jako najbardziej optymalnych.

Dostęp do danych zarchiwizowanych jest możliwy dzięki opcji przełączenia między bazą bieżącą a archiwum. Wszystkie funkcje związane z przeglądaniem zapisanych zdarzeń czy tworzeniem raportów w bazie archiwalnej działają tak samo jak w bazie bieżącej.

VigilEnt Log Analyzer 1.2 (pre-release) (NetIQ)

Pakiet NetIQ VigilEnt Log Analyzer 1.2 nie trafił jeszcze do sprzedaży - jest to wersja pre-release pakietu, który pojawi się na rynku w trzecim kwartale br. Narzędzie tworzone przez NetIQ jest przeznaczone do zbierania i analizy logów w dużych firmach. Analizuje logi większości popularnych systemów operacyjnych, firewall, IDS, routerów i przełączników sieciowych oraz niektórych aplikacji.

Podobnie jak S.E.L.M., VigilEnt Log Analyzer zbiera dane we wcześniej zadanych przedziałach czasowych, a więc nie pracuje w pełni online. Najkrótszy dopuszczalny interwał czasowy wynosi 10 min. Wynika to zapewne z faktu, że zebrane przez agentów dane są przed wysłaniem do centralnego serwera kompresowane i szyfrowane, choć np. LogCaster i Log Analyzer działają w trybie online, mimo szyfrowania. Inaczej niż w przypadku LogCastera, gdzie agent zbiera i analizuje zdarzenia komputera, na którym rezyduje, agent VigilEnt to zdalny węzeł koordynujący pracę "zwykłych" agentów zwanych endpoints pracujących na innych komputerach. W ten sposób NetIQ rozwiązało problem skalowalności rozwiązania.

Obecnie program zbiera i analizuje zdarzenia z następujących platform: Windows NT/2000/XP, Unix, OS/400, Cisco IOS oraz aplikacji: Check Point FireWall, Cisco PIX Firewall, Cisco IDS sensor, ISS RealSecure, Network Sensor oraz Snort IDS.

VigilEnt Log Analyzer to jeden z wielu elementów składających się na pakiet NetIQ VigilEnt. W zestawie są jeszcze narzędzia: VigilEnt Security Operations Center (VSOC) - konsola zarządzająca i służąca do konfigurowania i uruchamiania aplikacji pakietu VigilEnt. Bezpieczeństwem komunikacji, uwierzytelnianiem komponentów, szyfrowaniem danych i przekazywaniem poleceń zajmuje się VigilEnt Security Server (VSS). Analysis Engine prowadzi codzienne analizy danych z każdej bazy Log Database. Log Database to centralne repozytorium, do którego dane przesyłają wspomniani wyżej agenci.

Projektanci VigilEnt Log Analyzer położyli nacisk na raportowanie i analizę zbieranych danych.

Należy zainstalować na serwerze bazę danych SQL Server wraz z modułem Analysis Services oraz moduł Office XP Web Components. Każdego dnia na podstawie zebranych danych z poszczególnych systemów są tworzone kostki OLAP pozwalające na szczegółową analizę danych. Za pomocą Security Trend Analysis można generować raporty, dzięki którym będzie możliwe np.

• porównanie zaistniałych zdarzeń wysokiego zagrożenia z ostatniego kwartału do tego samego kwartału w zeszłym roku;

• określenie, które z serwerów produkcyjnych były najbardziej obciążone atakami w ciągu ostatnich sześciu miesięcy;

• uzyskanie informacji, ile razy był skanowany specyficzny port serwera WWW w ciągu ostatniego tygodnia.

Moduł Log Reports to kolejny element VigilEnt Log Analyzer pozwalający na analizowanie zdarzeń związanych z tworzeniem i modyfikacją kont użytkowników, nietypową aktywnością logowań/wylogowań mogącą świadczyć o atakach typu brute force, nietypowej aktywności związanej z grupami lokalnymi/globalnymi oraz wszystkich zdarzeń bądź alarmów z monitorowanych serwerów, urządzeń sieciowych i systemów operacyjnych.

Forensic Analysis w przeciwieństwie do Security Trend Analysis czy Log Reports umożliwia przegląd wszystkich szczegółowych danych zapisanych w bazie, a nie tylko danych powstałych z analiz czy raportów. Danymi wyświetlanymi przez Forensic Analysis mogą być np. informacje o błędnych losowaniach w ciągu ostatniego tygodnia, połączenia z konkretnego adresu IP w ciągu ostatniego miesiąca czy dostęp do dzienników, w których zapisywane są zdarzenia zachodzące w systemie.

Maciej Piekulski jest inżynierem w firmie Securing.