Skupina Dr. Max s Logmanagerem získala vysoce výkonné řešení, které pomáhá s řešením problémů bezpečnostním specialistům, technikům IT podpory i administrátorům jednotlivých aplikací či systémů.
Výchozí situace
Dr. Max provozuje síť více jak 400 lékáren se 3000 zaměstnanci. Mimo České republiky působí i v dalších 7 evropských zemích. Skupina provozuje a spravuje velmi různorodé IT systémy určené pro chod nejen lékáren, ale i skladů, distribuce léčiv, jejich vývoj a výrobu. To vše vyžaduje řadu databázových systémů a velmi rozsáhlou počítačovou síť.
Každý ze systémů generuje velké množství důležitých strojových dat o své činnosti, stavu a aktivitách administrátorů a uživatelů.
Předchozí decentralizace ukládání logů způsobovala jejich složitou identifikaci a významně prodlužovala dobu nutnou k jejich vyřešení. A to i při podezření na bezpečnostní incidenty.
Důvody pro nasazení Logmanageru
Cílem zákazníka bylo sjednocení ukládání logů na externím zabezpečeném systému a získání uceleného přehledu o bezpečnosti a provozu informačních systémů.
Úložiště mělo zajišťovat dlouhodobé uchovávání informací v nezměnitelné podobě pro získání přehledu o stavu provozovaných systémů, přístupech k jednotlivým aplikacím nebo přesné zmapování činnosti privilegovaných účtů.
Úložiště muselo být zabezpečené tak, aby nemohlo dojít k mazání či jiné úpravě nasbíraných dat. Zvolené řešení nemělo být licenčně omezeno maximálním počtem zpracovávaných událostí za časovou jednotku ani maximálním počtem sledovaných zařízení a mělo umožnit zpracování velkého počtu událostí za vteřinu.
Vybrané řešení Logmanager XL těmto potřebám plně vyhovělo.
Implementace
V první fázi bylo cílem ověřit technické možnosti Logmanageru a přizpůsobit prostředí pro analýzu dat. Zákazníkovi tedy byla dodána testovací appliance Logmanager M s kapacitou úložiště 12 TB. V rámci úvodní instalace došlo k napojení autentizace uživatelů Logmanageru přes Active Directory. Pro sběr událostí byla vytipována referenční zařízení, která měla prověřit výkon systému, schopnost zpracování a analýzy uložených dat.
V druhé fázi byla dodána appliance Logmanager XL s kapacitou úložiště 100 TB. Tato appliance byla nainstalována v datovém centru společnosti. Byla provedena konfigurace do clusteru se zařízením dodaném v první fázi. Po přenesení konfigurace a replikaci všech dat byla odpojena appliance Logmanager M a zařízení umístěné v datovém centru bylo převedeno do produkčního režimu.
Následně byly nakonfigurovány vybrané aplikace a servery tak, aby zasílaly logy do Logmanageru. Jakmile byly logy v Logmanageru dostupné, došlo k vytvoření specifických parserů. Vzhledem k velmi vysokému počtu událostí, generovaných zejména interními bezpečnostními prvky, byla provedena optimalizace zpracování dat.
V rámci implementace byli pro práci s Logmanagerem proškoleni administrátoři, technici IT podpory a bezpečnostní pracovníci. Proběhlo také několik workshopů zaměřených na řešení specifických potřeb jednotlivých oddělení.
Přínosy pro zákazníka
Logmanager aktuálně přijímá a vyhodnocuje 10 000 událostí za vteřinu. V době špičky, která trvá mnohdy i několik hodin, platforma zpracovává až 25 000 událostí za vteřinu, což odpovídá 250 – 350 GB dat denně.
Spolu s profesionálním nasazením a následnou podporou certifikovaného partnera BIT SERVIS došlo k jednoduchému a rychlému nasazení z testovacího režimu přímo do produkčního prostředí.
Systém slouží především bezpečnostnímu managementu pro dohled.
Provozní zkušenosti ukázaly, že řešení může být také velmi efektivním nástrojem pro práci techniků IT podpory i administrátorů jednotlivých aplikací či systémů.
Mezi nejčastější operace patří kompletní vyčítání a zpracování logů o přihlášení a přístupech uživatelů do systému, rychlé dohledání a filtrace potřebných informací z logů, používání automatických upozornění na nestandardní stavy a vyčítání logů z provozované síťové infrastruktury, včetně bezpečnostních zařízení.
Logmanager svým sjednocením ukládání logů a jejich zabezpečením splnil všechny očekávané cíle. Zákazník přitom nejvíce oceňuje:
- Rychlé nasazení včetně úvodního ověření vlastností během testů před koupí a možnost okamžitého využívání,
- korelaci logon/logoff operací napříč celou síťovou infrastrukturou,
- vyhodnocování přístupu uživatelů k souborům a systémovým prostředkům,
- sledování konfiguračních změn prováděných administrátory a operátory systému,
- rychlou diagnostiku a řešení bezpečnostních incidentů,
- podklady pro forenzní analýzu při vyšetřování bezpečnostních incidentů,
- zrychlení při odstraňování technických problémů systémů,
- možnost postupného škálování v rámci zemí z centrálního na distribuované řešení,
- otevřené řešení pro snadnou integraci systémů, které nejsou podporovány přímo výrobcem,
- unifikované a snadné vyhledávání napříč všemi typy dat a zařízení,
- přehlednost a minimální nároky na operativu,
- vysoký výkon,
- detailní nastavení přístupových práv k ukládaným datům i systémovým oprávněním.
Pokud se chcete o Logmanageru dozvědět více, neváhejte nás kontaktovat nebo si zarezervujte nezávaznou konzultaci s naším expertem. Případová studie byla realizována ve spolupráci se společností BIT SERVIS s.r.o.