Product

SRAN Log Module


“คุณ จะขจัดความไม่รู้เหล่านี้ได้ โดยใช้ SRAN Log Module จะช่วยให้รู้ทันปัญหาต่างๆที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์ของท่าน”SRAN ถูกออกแบบมาเสมือนกล้องวงจรปิดที่บันทึกการใช้งานได้อย่างครบถ้วน และสะดวกต่อการตรวจสอบพฤติกรรมการใช้งาน โดยไม่ละเมิดสิทธิส่วนบุคคลตามนโยบายขององค์กรได้อย่างลงตัว (ดูรายละเอียดเพิ่มเติม...)

SRAN Light เป็นรุ่นที่ได้ผ่านมาตรฐาน มศอ ของ ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC)

ในการเก็บข้อมูลจราจรทางคอมพิวเตอร์ ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์  

โดย SRAN มีความสามารถ Log Server และมีความสามารถในการเก็บบันทึกข้อมูลแบบ Real Time ได้ในตัวเดียว

ที่มานวัฒกรรมนี้เกิดจากทีมพัฒนา SRAN ได้เก็บเกี่ยวประสบการณ์ในงานด้าน IT Security ค้นคว้าวิจัยเพิ่มเติม และสำรวจความต้องการของลูกค้า ผนวกกับแนวโน้มที่เพิ่มสูงขึ้นของภัยคุกคามภายในองค์กร (Insider Threat) ทีมงานจึงได้พัฒนาผลิตภัณฑ์เพื่อต่อยอดจาก SRAN Security Center จนเกิดเป็น “SRAN Light” ขึ้น ซึ่ง SRAN นี้ ยังคงคุณสมบัติด้านการเก็บ Log File ตาม พ.ร.บ.คอมพิวเตอร์ ผนวกเทคโนโลยีใหม่ “HBW” หรือ Human Behavioral Warning เพื่อเชื่อมโยงการเฝ้าระวังภัยคุกคามภายในเครือข่ายองค์กร เข้ากับงานบริหารทรัพยากรบุคคล พร้อมระบบจัดเก็บคลังข้อมูล (Inventory)

 เทคโนโลยี HBW ซึ่งเป็นหัวใจของ SRAN นี้ ได้นำเทคนิค Intrusion Detection System ในระดับ Network Base มาผนวกเข้ากับการจัดเก็บคลังข้อมูล (Inventory) ให้สามารถตรวจจับราย ชื่อพนักงาน ชื่อแผนกของหน่วยงาน ค่า MAC Address นำมาเชื่อมโยงกับ IP Address (ทั้งแบบ Dynamic และ Static IP) ได้ เพื่อประโยชน์ในการเฝ้าระวังพฤติกรรมการใช้งานไอซีทีภายในองค์กร ระบบถูกออกแบบไม่ให้มีการละเมิดสิทธิส่วนบุคคลของพนักงานในองค์กร เทคโนโลยีทั้งหมดรวมอยู่ในเครื่องเดียว ไม่ต้องติดตั้งอุปกรณ์เพิ่มเติม เพิ่มความสะดวกในการใช้งาน  และเป็นประโยชน์สำหรับองค์กรในการเฝ้าระวังภัยคุกคามภายใน “Insider Threat” ที่มีสถิติเพิ่มสูงขึ้นทุกๆปี และการสืบค้นหาประวัติเหตุการณ์เพื่อหาผู้กระทำความผิดได้สะดวกมากขึ้น อีกทั้งยังสามารถเชื่อมกับงานบริหารทรัพยากรบุคคล (HR) ทำให้ทราบพฤติกรรมการใช้งาน IT ภายในองค์กร ว่ามีพฤติกรรมการใช้งานอันไม่เหมาะสมในเวลางานหรือไม่ หรือมีการลักลอบขโมยข้อมูลภายในองค์กรส่งไปยังที่อื่นนอกเวลางานหรือไม่ ช่วยให้รู้เท่าทันปัญหาการฉ้อโกง (Fraud) จากคนภายในองค์กรได้ พร้อมหลักฐานประกอบรูปคดี ทั้งยังสามารถเก็บสถิติการใช้งานรายแผนก รายบุคคล ช่วยให้การพยากรณ์การลงทุนระบบไอซีทีในองค์กรมีประสิทธิภาพมากขึ้น

 ลักษณะการตรวจวิเคราะห์ Application Protocol ที่ SRAN สามารถเก็บบันทึกได้ แบ่ง 2 ส่วนคือ
ข้อมูลที่เกิดจากการใช้งานปกติ (Normal Traffic) ได้แก่

Web : HTTP, HTTPS

Email : SMTP, POP3, IMAP, Web Mail, Lotus Note, POP3S, SMTPS, IMAPS ซึ่งจะดูเฉพาะ Subject e-mail  ในการรับส่ง

Messenger : ICQ, MSN, IRC, AIM, Yahoo, ebuddy, Camfrog ใน Mode Chat สามารถควบคุมได้ว่าจะให้แสดงข้อความการสนทนาได้ ซึ่งเป็นการป้องกันเรื่องความเป็นส่วนตัวพนักงาน

File Transfer : FTP, TFTP ,Files Sharing (Netbios)

P2P : napster, GNUtella, DirectConnect, Bittorrent, eDonkey, MANOLITO, Ares, ed2k, kaaza, soulseek และ VoIP ชนิด P2P เช่น Skype เป็นต้น

Others : Telnet, Remote Desktop, VNC, Radius

 ข้อมูลที่เกิดจากการใช้งานที่ไม่ปกติ (Threat Traffic) ได้แก่

ลักษณะการแพร่กระจายสิ่งผิดปกติ เช่น Virus/worm , Backdoor , Trojan , Malware , Botnet

ลักษณะการโจมตีในชนิดต่างๆ เช่น DDoS/DoS  , Brute force password , buffer overflow

ลักษณะความผิดปกติจากการรับ-ส่งข้อมูล เช่น Spam การรับ-ส่งข้อมูลขยะ , Phishing การรับ-ส่งข้อมูลที่หลอกลวง, การที่อุปกรณ์เครือข่ายที่ปล่อยสัญญาณผิดปกติ จาก Protocol ICMP , SNMP เป็นต้น

ลักษณะการปลอมแปลงข้อมูล เช่น การ Spoof ค่า MAC โดยใช้เทคนิค ARP-spoof  , Spoof ค่า DNS  เป็นต้น

 การติดตั้งบนระบบเครือข่ายคอมพิวเตอร์

ทำได้ 3 วิธี

1. ติดตั้งแบบเฝ้าระวังและป้องกันเชิงลึก (Inline mode) การติดตั้งแบบนี้สามารถป้องกันภัยคุกคามในระดับ Application Layer ได้ เหมาะสำหรับเครือข่ายขนาดเล็ก

2.ติด ตั้งแบบเฝ้าระวังและป้องกันทั่วไป (Transparent mode) การติดตั้งแบบนี้สามารถป้องกันภัยคุกคามในระดับ Layer 2 (MAC Address ) , Layer 3 (IP Address) และ  Layer 4 (TCP , UDP และ Port services)  เหมาะสำหรับเครือข่ายขนาดเล็ก และขนาดกลาง

3. ติดตั้งแบบเฝ้าระวัง  (Passive mode) การติดตั้งแบบนี้สามารถเฝ้าระวังภัยคุกคามและพฤติกรรมการใช้งาน เหมาะติดตั้งในเครือข่ายขนาดใหญ่

คุณสมบัติเด่น SRAN Log Module มีดังนี้

1. สามารถเก็บบันทึก Log File และจัดเปรียบเทียบให้สอดคล้อง พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ดังนี้ – ระบุตัวตนผู้ใช้งานถึงพฤติกรรมการใช้ข้อมูลบนระบบไอทีในองค์กรโดยสามารถ พิสูจน์ได้ว่า ใคร(who) ทำอะไร(what) ที่ไหน(where) เมื่อไหร่ (when) อย่างไร(why/how) ได้อย่างครบถ้วน – สามารถแยกแยะภัยคุกคามที่เกิดขึ้นในองค์กรพร้อมนำเสนอวิธีการแก้ไข – สถิติการใช้งานข้อมูลทั่วไปเพื่อจัดเก็บบันทึกตามหลักเกณฑ์การเก็บบันทึก ข้อมูลจราจร

2. ช่วยให้ทราบถึงพฤติกรรมการใช้งาน IT ภายในองค์กร โดยเชื่อมโยง IP Address และ MAC Address เข้ากับข้อมูลรายชื่อพนักงาน ซึ่งสามารถเพิ่มรูปพนักงานเข้าไปในระบบได้ พร้อมเก็บประวัติการใช้งาน และสามารถเลือกดูการใช้งานแบบ Real Time Monitoring


3. สามารถจัดเก็บค่า Inventory ชนิดแบบ Passive ทางระบบเครือข่าย ซึ่งทำให้ได้ทราบถึง – รายชื่อพนักงานบริษัท (Name) – ชื่อแผนก (Department) – ชื่อระบบปฏิบัติการของพนักงาน (Operating System) – ค่า MAC Address แต่ละเครื่องในองค์กร


ภาพการแสดงผล ค่าคลังข้อมูล (Inventory)  จะสามารถเก็บประวัติการใช้งานเครื่องคอมพิวเตอร์ รายชื่อพนักงาน ชื่อแผนก ชื่อ IP ค่า MAC Address และระบบปฏิบัติการได้ โดยไม่ต้องลงซอฟต์แวร์ (agent) และแสดงรูปพนักงานได้อีกด้วย


4. รายงานผลการใช้งานข้อมูลสารสนเทศ – รายงานการใช้งานปริมาณ Bandwidth ที่สามารถเลือกช่วงเวลาได้ – รายงานการใช้งานตาม Protocol  ที่สามารถเลือกช่วงเวลาได้ – รายงานภาพรวมการใช้งานไอทีในองค์กร – รายงานการใช้งานไอทีตามรายแผนก  – รายงานการใช้งานไอทีตามรายบุคคล โดยสามารถเลือกรูปแบบการแสดงผลในรูปแบบไฟล์ CSV, HTML ทั้งยังสามารถออกรายงานผลเพื่อเชื่อมโยงระบบมือถือได้ผ่านช่องทาง XML

5. เฝ้าระวังพฤติกรรมการใช้งานและภัยคุกคามที่อาจเกิดขึ้นจากการใช้งานระบบไอซี ทีในบริษัทโดยแยกแยะให้เป็นระดับความเสี่ยงสูงกลางและต่ำได้


6. บันทึกข้อมูลด้วยกระบวนการที่ยืนยันความถูกต้อง (MD5) พร้อมทั้งเรียกดูย้อนหลังตามวันเวลาที่เก็บได้ อย่างน้อย 90 วัน 

7. นำเสนอสถิติการใช้งานรายแผนก รายบุคคล ช่วยให้การพยากรณ์การลงทุนระบบไอซีทีในองค์กรมีประสิทธิภาพมากขึ้น

 

 

ภาพแสดงรูปแบบการออกรายงานผล

————————————————————————-

 เพิ่มความคุ้มค่า ครบทุกอย่างในเครื่องเดียว พิเศษ SRAN Light ทุกรุ่นสามารถเพิ่มประสิทธิภาพเป็นแบบระบบ Hybrid เพื่อสามารถทำเป็น Log Server ได้ในตัวเดียวกันได้จัดทำระบบตามมาตรฐานระบบเก็บ Log Server ตามกฏเกณฑ์จากศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ  สำนักงานพัฒนาวิทยาศสาตร์และเทคโนโลยีแห่งชาติ (NECTEC)  มศอ. 4003.1 – 2552

คุณสมบัติ New Hybrid

1. การเก็บข้อมูลจราจรสามารถเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ได้ต่อเนื่องไม่น้อยกว่า 90 วัน

2. สามารถปรับตั้งนาฬิกาภายใน ให้ตรงกับเวลาอ้างอิงมาตรฐานระดับชาติ ได้แก่ time server ของ nimt, navy, และ ThaiCERT ได้โดยอัตโนมัติ

3. มีการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตทั้งทางกายภาพและทาง อิเล็กทรอนิกส์ การเข้าถึงจากระยะไกลได้ มีมาตรการด้านความมั่นคงปลอดภัยการเข้าจัดการระบบผ่านการเข้ารหัส http ด้วย ssl  (HTTPS)

4. มีมาตรการในการควบคุม และป้องกันการเปลี่ยนแปลงค่าต่าง ๆ ของระบบโดยผู้ใช้ ผู้สามารถ login เข้าระบบก่อนที่จะทำการเปลี่ยนแปลงค่าต่างๆของระบบได้ และมีวิธีการในการระบุและจำแนกตัวบุคคล

5. มีระบบบันทึกประวัติการเข้าถึงและใช้งานระบบ

6. มีระบบบันทึกประวัติการเข้าถึงและใช้งานระบบต้องมีการป้องกันการแก้ไข เปลี่ยนแปลง และปลอมแปลงข้อมูลได้ บันทึกประวัติการใช้งานระบบ สามารถดูได้เท่านั้น ไม่สามารถแก้ไข เปลี่ยนแปลงและปลอมแปลงข้อมูลได้

7. มีการตรวจสอบความใช้ได้ของข้อมูลระบบจะรับข้อมูลจากอุปกรณ์ที่กำหนดและมีการยืนยันความถูกต้องของข้อมูล 

 


เอกสารรายละเอียดผลิตภัณฑ์  (SRAN Log Module Datasheet)

 

============================================================

ขั้นตอนการ Update Firmware 

การอัพเดท Firmware ควรจัดทำอย่างระมัดระวัง และจะอัพเดทได้ในรุ่นที่มีหน้าบริหารจัดการ Firmware

โดยคลิก Management –> System –> Firmware

ทั้งนี้เครื่องที่จะอัพเดท Firmware ได้ต้องผ่านการลงทะเบียน Online ในการระบุ License เครื่อง SRAN LM ก่อน

การ Activate License

ภาพการกำหนด Active License Key โดยคลิกไปที่เมนูหลัก Management –> License

 

SRAN Firmware

1. Firmware version วันที่ 22 เมษายน 2553
Changelog

- Export page now support domain account.

LT50LT50-DEMO
LT100 | LT100-DEMO
LT100-HYBRID | LT100-HYBRID-DEMO
LT500 | LT500-DEMO
LT500-HYBRID | LT500-HYBRID-DEMO

 

2. Firmware version วันที่ 29 กันยายน 2553
Changelog

- Fix search result (Mismatch event detail)
- Update monitor page
- Add ping and repair system in console mode.

LT50 | LT50-DEMO
LT100 | LT100-DEMO
LT100-HYBRID | LT100-HYBRID-DEMO
LT500 | LT500-DEMO
LT500-HYBRID | LT500-HYBRID-DEMO 


3. Firmware version วันที่ 26 พฤศจิกายน 2553
Changelog

- Add snmp option to get MAC address from Switch.

LT50 | LT50-DEMO
LT100 | LT100-DEMO
LT100-HYBRID | LT100-HYBRID-DEMO
LT500 | LT500-DEMO
LT500-HYBRID | LT500-HYBRID-DEMO

 

4. Firmware version วันที่ 28 มิถุนายน 2554
Changelog

- Fix live data page
- Fix arp spoof display
- Fix event fetch daemon

LT50 | LT50-DEMO  
LT50-HYBRID | LT50-HYBRID-DEMO 
LT100 | LT100-DEMO  
LT100-HYBRID | LT100-HYBRID-DEMO 
LT500 | LT500-DEMO 
LT500-HYBRID | LT500-HYBRID-DEMO

 

5. Firmware version วันที่ 5 ตุลาคม 2554
Changelog

- New social network event page.
- Network flow collector is back.
- Fix menu link.
- Fix IP config page.
- Fix clear data page in Demo box.

LT50 | LT50-DEMO 
LT50-HYBRID | LT50-HYBRID-DEMO 
LT100 | LT100-DEMO 
LT100-HYBRID | LT100-HYBRID-DEMO 
LT500 | LT500-DEMO 
LT500-HYBRID | LT500-HYBRID-DEMO