Odbor informatiky Prahy 3 centralizoval ukládání a analýzu logů

Odbor informatiky městské částí Praha 3 s Logmanagerem získal centrální úložiště logů s analytickými funkcemi a dostatečným výkonem, které jim pomáhá s provozním monitoringem a zajištěním souladu s bezpečnostními předpisy.

Výchozí situace

Odbor informatiky Úřadu městské části Praha 3 spravuje řadu databázových systémů, aplikací pro provoz agend a počítačovou síť. To je více jak 300 počítačů, 40 virtuálních serverů, převážně Windows, 30 přepínačů a dalších zařízení.

Aplikace slouží především pro podporu výkonu státní správy a místní samosprávy. Celý informační systém pak komunikuje s dalšími informačními systémy veřejné správy, např. je integrován s informačními systémy Základních registrů nebo Datových schránek.

Všechny aplikace, systémy a zařízení generují logy, které byly umístěny lokálně na zařízeních. Nebylo tedy možné logy nijak korelovat a archivovat. Pouze logy ze síťových zařízení byly uschovávány v aplikaci pro management a monitoring HP Intelligent management center.

Úřad městské části Praha 3 sice nespadal pod působnost Zákona o kybernetické bezpečnosti 181/2014 Sb., ale odbor informatiky úřadu se snažil postupovat v souladu s tímto zákonem a odkazuje se na něj v Bezpečnostní politice úřadu.

Bezpečnostní politika je zpracována na základě zákona 365/2000 Sb. o informačních systémech veřejné správy a podle ISO 27001:2005. Vyhláška k Zákonu o kybernetické bezpečnosti požaduje v §21 — „Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů“. V §23 je to pak „Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí“.

Klíčové výzvy projektu

Vzhledem k nemožnosti sbírat, archivovat a korelovat logy na jednom místě bylo cílem projektu zajistit centrální úložiště logů s dostatečnou kapacitou, včetně vhodného nástroje pro vyhodnocování.

Jedním z hlavních požadavků byl sběr logů ze stanic a serverů Windows. Nejlépe s možností filtrování odesílaných událostí.

Zákazník také potřeboval řešení, které mu pomůže splnit legislativní požadavky a požadavky stanovené Bezpečnostní politikou úřadu

Důvody pro nasazení Logmanageru

Zákazník vybíral mezi několika SIEM nástroji velkých společností (ARCSight a QRadar) na jedné straně, a mezi nástroji postavenými na Open Source řešeních (Splunk, Nagios).

Systém Logmanager zaujal zlatý střed mezi vybranými řešeními. Svou výkonností v počtu přijatých EPS zdaleka převýšil zavedené SIEM systémy. Funkcemi pro analýzu, reportování a alertování se jim vyrovnal.

Důležitým parametrem při výběru bylo licencování. Logmanager není nijak licencován na počty zdrojů ani EPS.

V konkurenci s open-source systémy rozhodlo, že Logmanager je odladěné ucelené řešení s jedním administračním rozhraním a řadou funkcí, která open-source nástroje nenabízejí. Důležitou skutečností je, že Logmanager není provozován ve virtuálním prostředí, ale jako samostatný server. Při havárii virtuálního serveru je log management stále v provozu, logy se neztratí a je možné analyzovat důvody pádu hypervizoru.

Logmanager zároveň nabídl vysokou úroveň zabezpečení uložených dat. Veškerá data jsou uložena na diskovém poli RAID6 s akcelerovaným hardwarovým řadičem. Z bezpečnostního hlediska bylo klíčové, že administrátor nemá možnost mazat uložená data.

Logmanager také splnil potřebu sbírat logy z prostředí Windows, opět bez nutnosti zvláštního licencování. Navíc nabídnul specialitu – překlad chybových kódů Windows do srozumitelné formy, tedy doplnění chybové hlášky místo kódu.

Při výběru Logmanageru také rozhodlo, že systém je certifikovaný na plnění požadavků ISO 27001:2005.

Přínosy pro zákazníka

Logmanager zcela splnil požadavky na centrální úložiště dat a nástroje na vyhodnocování logů.

Obrovskou výhodou vybraného řešení je jeho výkon pro příjem událostí a kapacita pro ukládání logů. Systém je v provozu necelé dva roky a při současném množství přijímaných logů bude kapacita systému stačit na cca 5 let. To je naprosto dostatečná doba pro uložení logů bez nutnosti řešit jejich retenci.

„Nepotřebujeme drahý SIEM systém s řadou složitých funkcí. Chtěli jsme centrální úložiště logů s analytickými funkcemi a dostatečným výkonem. Logmanager má přiměřenou cenu a jednoduchý, tedy žádný, systém licencování. A to nám naprosto vyhovuje.“

Tomáš Hilmar, Vedoucí odboru informatiky, Praha 3

Důležitá je i skutečnost, že je systém spravován z jednotného administračního rozhraní a má propracovaný systém přístupových práv.

Analytické schopnosti Logmanageru jsou využívány například pro:

• Audit přístupu uživatelů do informačních systémů.
• Audit spouštění a ukončování procesů ve Windows, monitoring využití aplikací.
• Identifikace komunikačních toků a konfigurace pravidel na firewallu,
• Monitoring chování uživatelů v internetu a přehledné výstupy z Webfilteru firewallu.
• Monitoring komunikace s externími subjekty.
• Monitoring a řešení komunikačních problémů integračních můstků mezi informačními systémy.
• Řešení pracovně právních problémů – činnost uživatele.
• Kontrola činnosti uživatelů na návštěvnické WiFi a vytváření statistik.
• Kontrola nežádoucích služeb na počítačích – nezdařené či nekompletní odinstalace programů.

Pracovníci Odboru informatiky také využívají zasílání informačních alertů při přihlášení administrátorů nebo dodavatelů ke správě bezpečnostních zařízení – firewall a IPS. A také při přístupu přes Remote desktop protokol na servery s aplikacemi.