LogoLogo secondary
Oblasti naší specializace
Elastic & BigData
Integrace
Vývoj aplikací na zakázku
Cloud Automation & DevOps
Paperless & Workflow
Outsourcing IT expertů
Reference
Kariéra
Kontakty
Domů

Logmanagement a SIEM 
v Generali České pojišťovně

Případová studie: NOTIX dodal Generali České pojišťovně řešení pro centrální logmanagement na bázi Elastic, které zrychluje analýzu incidentů a dobu jejich vyřešení. Doplnění o modul SIEM přináší flexibilní nástroj pro detekci bezpečnostních incidentů.

Image 1
Image 2
Image 3
Background

Cíle projektu

Cíle Generali České pojišťovny lze rozdělit do dvou oblastí:

  1. Cílem vývojových oddělení a aplikačních podpor bylo získat novou platformu pro centrální logování, která co nejlépe pokryje komplexní aplikační architekturu společnosti, nabídne vybraným uživatelům dat z logů komfortní způsob nahlížení na data a jejich prohledávání, umožní reagovat na konkrétní výskyt dat v logu pomocí zaslání notifi kace a také poskytne možnost pro provádění pravidelné profylaxe vybraných systémů a platforem na základě vývoje sledovaných parametrů v čase.
  2. Cílem oddělení bezpečnosti bylo vybudovat, v synergii s centrálním logováním, lokální řešení plnohodnotného SIEM nástroje, jako „doplněk“ ke skupinovému standardu IBM QRadar. Vybrané řešení mělo být dostatečně fl exibilní vzhledem k možnostem defi nice pravidel pro dohledávání bezpečnostních incidentů a mělo mít potenciál pro rozšíření na hlídání incidentů na koncových stanicích
Image

Řešení projektu - část 1 - Centrální správa logů

Projekt centrální správy logů byl odstartován realizací PoC platformy Elastic, které mělo za cíl pokrýt vybrané aplikace postavené na různých platformách a poskytnout možnost uživatelům (vývojářům a aplikačním podporám) jednak srovnání s původním řešením a jednak dát podněty, připomínky a požadavky na cílové řešení.

V době začátku projektu byla v GČP provozována minimalistická instance GRAYLOG, která byla využívána zejména pro fáze vývoje a testu nových release vybraných aplikací postavených na fi remním frameworku. Mezi vybrané aplikace a platformy pro PoC byla jako první vybrána integrační platforma GČP (Enterprise Service Bus, API Gateway), která je z pohledu řešení incidentů aplikačních podpor kriticky důležitým dodavatelem informací.

Součástí PoC bylo i nastavení přístupových práv a alertingu pomocí funkčností alertingu pomocí funkčností třetích stran Elast Alert. PoC bylo vyhodnoceno jako úspěšné a projekt přešel do realizace, která spočívala primárně v rozšíření sběru logů na další systémy a platformy, implementace načítání logů a jejich interpretaci.

 

Image

Sběr logů byl realizován pomocí File- Beat. V době realizace projektu GČP neměla ve své integrační platformě vhodný nástroj pro přenos logů do Elasticsearch, a proto jsme navrhli využití KAFKA, jako přenosového systému, což je časem a trhem prověřené standard. Z vytvořených KAFKA topiců jsou data přebírána Log- Stashem s custom implementací parsování logů a ukládána do indexů v Elasticsearch, nad kterými jsou konfigurovány dotazy a pohledy na data v Kibana.

Jako side-effect v průběhu samotného projektu došlo v několika systémech k „normalizaci“ logování tak, aby bylo vytěžování logů co nejuniverzálnější. Z našich zkušeností je normalizace datového obsahu a ideálně i formy jedním z předpokladů pro maximální efektivitu připojování nových systémů do řešení centrálního logování.

Pro maximalizaci užitné hodnoty dat a možnost korelace pro potřeby dohledávání incidentů a profylaxe je nutné kromě aplikačních logů mít k dispozici i logy obsahující informaci o parametrech chování serverů. V době projektu sice měla GČP monitoring běhových parametrů produkčního prostředí pokryto nástrojem Dynatrace, nicméně na neprodukčních prostředích tento nástroj z důvodu licenční politiky výrobce nasazen nebyl.

Rozhodli jsme se proto nasadit modul Elastic APM na neprodukční prostředí, jako vhodné alternativy pro Dynatrace. Kompletní nasazené řešení pro centrální logování bylo předáno GČP pro jeho další rozvoj a konfiguraci.

Image

Řešení projektu - část 2 - Modul SIEM

Projekt SIEM byl odstartován v průběhu realizace projektu centrálního logování s tím, že jsme se rozhodli provést PoC na produkt SIEM od Elastic. Využití SIEM od Elastic přinášelo velkou výhodu v synergii s výstupy projektu centrálního logování, respektive s využitím dat z centrálního logování. SIEM byl testován na vybraném vzorku dat relevantních pro řízení bezpečnosti a byla konfigurována vybraná pravidla pro detekci bezpečnostních hrozeb. Realizované PoC ukázalo, že produkt nabízí plnohodnotné řešení poskytující více, než co oddělení bezpečnosti GČP v danou chvíli potřebovalo. Výhodou SIEM od Elastic je do budoucna to, že jsou data ukládána do Elasticsearch, který je optimalizovaný na práci s velkým množstvím dat, což bývá problémem v některých jiných SIEM řešeních.

V samotném projektu byly, kromě standardních logů, připojeny pomocí Syslog Serveru specifické zdroje dat důležité pro oddělení bezpečnosti. Velká synergie s projektem centrálního logování se ukázala zejména v oblasti využití processingu aplikačních logů díky dosažené lepší kvalitě a „normalizaci“ struktury dat a následně také při sdílení know-how a provozních postupů. Definice pravidel pro detekci bezpečnostních incidentů byla zejména v gesci kolegů z oddělení bezpečnosti GČP, protože tato pravidla jsou poplatná potřebám konkrétní společnosti. Kompletní nasazené řešení pro SIEM bylo předáno GČP pro jeho další rozvoj a konfiguraci.

Image

Přínosy řešení

Realizací projektů pro centrální logování a SIEM získala Generali Česká pojišťovna následující přínosy:

  • Zvýšení efektivity vývojových týmů a aplikační podpory při řešení chyb a incidentů.
  • Nástroj pro pravidelnou profylaxi aplikací a platforem.
  • Standard definující strukturu logů aplikací.
  • Performance monitoring neprodukčních prostředí vybraných aplikací a platforem.
  • Rozšíření integrační platformy společnosti o KAFKA.
  • Nástroj pro detekci bezpečnostních incidentů dle lokálně platných politik a pravidel.
  • Nástroj pro efektivní práci s auditními a bezpečnostními logy.
  • Řešení s potenciálem rozšíření na kontrolu bezpečnosti koncových stanic.
Image

Reference NOTIX v Generali České pojišťovně

Strategický rozvoj integrační platformy

NOTIX připravil společně s Generali Českou pojišťovnou 5stupňový Maturity model integrace, plán akčních kroků a část z nich také realizoval.

Koncept BPM Camunda

NOTIX se podílel na přípravě konceptu a strategie pro nasazení BPM platformy Camunda 7 pro Generali Českou pojišťovnu.

Logmanagement a SIEM

NOTIX dodal Generali České pojišťovně řešení pro centrální logmanagement na bázi Elastic, které zrychluje analýzu incidentů a dobu jejich vyřešení. Doplnění o modul SIEM přináší flexibilní nástroj pro detekci bezpečnostních incidentů.

Zpět na všechny Reference NOTIX
Image