Edina IDS & SIEM solution

Edina - IDS & SIEM SaaS tjänst


Edina är en heltäckande Cyber Defence säkerhetstjänst som automatisk analyserar it-miljöer under dygnets alla timmer mot inre som yttre säkerhetshot.

Med Edina kommer ni kunna följa er datatrafik med endast någon minuts fördröjning för att upptäcka och identifiera olika sårbarheter, säkerhetsintrång, it-attacker, dataläckor och andra säkerhetshot som kan skada er verksamhet.

Med systemet kommer ni även få en bättre kontroll över den dagliga driften då felkonfigurationer och avvikesler i miljön kan upptäckas mycket lätt.

Edina är ett avancerat IDS & SIEM system som är fullspäckad med funktioner. Det är designat för att vara mycket enkelt att använda utan att man behöver vara en expert där allt presenteras i användbara grafer och logfiler. Detta är också ett system som vi har utvecklat under 16 års tid från vår egen erfarenhet av dataanalysering.

Funktioner inom Edina


Edina erbjuder en mängd funktioner out-of-the-box by default. Vilka funktioner ni får tillgång till beror helt på vad ni stoppar in. Om ni t.ex. inte insamlar brandväggsloggar så kommer Edina inte vissa sådana. Om ni inte tar med TCP80/443 så kommer ni inte få någon webbstatestik osv. Om ni stoppar in allt, så kommer ni se allt!

Nedan är de övergripande funktionerna i Edina.
Notera att Edina är ständigt under utveckling och utbyggnad, så nya funktioner kommer titt som tätt, och ni betalar inget extra för dem.


Dashboard

Ert Dashboard visar övergripande information över er miljö.

Här ser ni trafikdata, hur många connections är gjorda för respektive protokoll och specifika portar ni använder.

Ni ser brandväggsblockeringar i grafer, en unik webstat som mäter webbtrafiken om ni är attackerade eller DDoS:ade, om en kund har problem med anslutningarna eller om ni har något fel på era webbservrar så sys det i graferna.

Ni ser antal TCP- och DNS-errors samt querys, antalet paket och connections som är gjorda under dagen.

På ert Dashboard ser ni även Web-requests som gör i er miljö.



Alerts

Här kan ni se alla larm som är registrerade. Alla larm sänds även via mail till er.



Traffic

Dyk djupare i er trafik. Se vilka protokoll som sticker ut, någon trafik som är avvikande. Ni ser snabbt om någon inte är rätt. Ni kan även stega bakåt i tiden för att se hur er trafik var under en viss dag. Ta bort protokoll från grafen för att endast se en eller flerea protokoll. Ni kan ladda ner graferna för rapporter eller utredningar.

Ni ser även avvikande trafikmönster i en logg. Vilken maskin eller IP-adress som gick vart med vilken port och protokoll för att undersöka vidare. Här fastnar allt som inte är vitlistat, dvs. era maskiner, nätverk, portar etc. Varje connections som är avvikande fastnar här, vilket är ett potentiellt säkerhetshot.



Firewall

Här samlas alla brandväggsblockeringar era yttre brandväggar gör, både in och utgående, uppdelat på segment och interface. Ni ser om en maskin försökte gå ut med en connection som blev blockerad som ni kan undersöka vidare (avvikande trafik). Ni ser vilka som attackerar som kommer från internet som ni blockerar. Ni ser SYN-floods m.m.

Ni kan gå ner på interface nivå, specifika tider och gå tillbaka i tiden. Ladda ner graferna för rapporter eller utredningar.



Connections

Få information om vilka maskiner som ansluter vart, hur många gånger och hur länge de håller anslutningarna öppna.

Här kan ni se om ni har avvikande trafikmönster någonstans. Skall en viss maskin hålla långa anslutningar eller ansluta många gånger? Försöker en maskin göra konstiga anslutningar? Gör en maskin rätt eller felaktiga anslutningar? Vilka portar är mest aktiva, och med vilka servrar? Hur många sekunder höll en viss server anslutningen?

Ni kan gå ner på interfacenivå under en specifik tid. Gå tillbaka i tiden m.m.



DNS

Har ni DNS-fel syns dem här i grafer och loggar. Ni ser antalet fel samt antalet querys som gjordes. Hur många procent fel det är och var.

Ni ser vilka querys som alla servrar gör, när dem gör dem. Ni ser vilka servrar som får DNS-fel, vad som gick fel (vilken domain) med exakt tid. Ni får en summering om hur många fel en viss domain hade där alla listat uppifrån och ner.

Även här kan ni gå tillbaka i tiden.



NTP

Här ser ni vilka servrar som uppdaterar klockan via NTP. Ni ser vilken server det är, vilken tid den har, om den uppdaterade klockan och hur mycket. Ni ser mot vilken NTP-server som utnyttjades m.m.



WebStat

Hur mår era webbservrar?

Här ser ni om något sticker ut. Om en server gör ovanliga anslutningar, om ni är attackerade, om en server får fel eller en kund gör upprepade anslutningar och massa mer.

Är ni under attack / DDoS-ning så synds det här, och ni får direkt larm till er mail om att en attack eller avvikelse pågår! Ni ser snabbt vilka som håller på och hur mycket.


Ni ser i grafer hur många SYN och ACKs era servrar gör. Sticker det iväg, då kan något vara fel eller ni är under attack. Ni ser från vilka IP-adresser som ansluter vart, och hur många gånger. Ni kan se vilka HTTP-request som görs mot er miljö. Ni ser vilka attacker som görs, och ofta hur. Ni ser proxyattacker och många andra avvikelser.

Ni kan som vanligt stega tillbaka i tiden, ta ut loggar och ladda ner grafer för rapporter och utredningar.



TCP Error

Har ni fel i miljön?
Fel i infrastrukturen?
Har er leverantör fel?
Hur många procent fel är det?
Oavsett vem som bär skulden så kommer de upp här!

Ni får grafer om när det hände, vilket typ av fel det är och hur länge. Gå ner på interfacenivå under en specifik tid. Se vilken server som hade fel, vart trafiken skulle, vilket fel det var, vilken port och när på sekunden det hände!

Ännu ett mycket användbart hjälpmedel.



Metadata

Få lite statistik på hur mycket metadata som samlades in under veckan.

Ni ser även statistik på era WAN-interface, hur mycket data som passerade, med vilken bitrate och hur många paket.



Files

Finner ni inte vad ni söker?

Ladda ner metadatan och gräv vidare i Wireshark, Tcpdump eller andra verktyg.

Som ovan nämnts så byggs alla system utefter våra kunders miljöer och anpassas därefter. Det betyder att vi kommer kunna anpassa Edina till er miljö och era behov, även om Edina erbjuder många funktioner direkt.

Det går i vissa fall att utveckla och ta fram funktioner endast för er unika miljö.

Ett system med 16 år bakom sig


Edina har en lång historik bakom sig där allt började mitten av 2000-talet då vi behövde ett verktyg när vi övervakade och analyserade våra dåvarande kunders it-miljöer. Det fanns inget system som var bra nog där vi började utveckla vårt eget system som var direkt anpassat till våra kundmiljöer. 2008 satte vi första systemet i drift som visade sig vara mycket bra och effektivt där vi byggde till fler funktioner och automatiska larm. 2015 byggdes en helt ny version som var ännu bättre som även fick ett grafisk peka och klicka GUI. Systemet döpte vi till Neptun som var den första riktiga versionen, men det var fortfarande ett intern system för oss som jobbande med analysering. 2016 satte vi systemet i aktiv drift inom samhällsviktiga tjänster som snurrar än idag, minut för minut. Mellan 2016 och 2022 gjordes stora uppdateringar på system som blev allt bättre där vi upptäcker attacker, fel och andra avvikelser var vecka åt våra kunder. 2023 började vi bygga på ett helt nytt system från grunden som skulle bli ännu snabbare och bättre, vars mål är att erbjuda Edina till andra verksamheter som en komplett SaaS-tjänst. Hösten 2024 rullade vi ut den första aktiva testen av det nya systemet Edina, där vi släppte in fler och fler testkunder. Vi kommer släppa in fler testkunder fram till våren 2025 där vi lanserar tjänsten.

Fram tills dess kan ni bli testkund redan idag då systemet fungerar fullt ut. Att vara testkund ger er många fördelar!

Installation


Edina är en SaaS-tjänst vilket betyder att Reykja tar hand om hela analyseringen av er miljö. Vi står för hostingen, dess servrar och resurser. Underhållet på servrarna, uppdateringar, installation av nya funktioner. Det enda ni behöver göra är att insamla den data ni vill att Edina skall analysera och göra den tillgänglig för hämtning (SCP, SFTP eller liknande). Edina vill ha pcap-filer, det är allt! Syslog är options om ni vill ha utökade specifika serverloggar.

Ni kan insamla pcap-data på flera olika sätt. Antingen via tcpdump/tshark på en eller flera serverar eller brandväggar på ett eller flera interface. Ni kan skickar en mirrrorport/TAP-anslutning från en switch/router/firewall till en dedikerad server som kör tcpdump. Ni kan skapa filer från ett annat övervakningssytem. Ni kan ha en dedikerad hårdvaru TAP-enhet. Vissa routrar och andra enheter kan göra egna packet captures. Hur ni gör beror på er miljö och hur den är designad samt vad ni vill ha analyserat. Ni kan ha en eller flera sensorer/insamlingsenheter. Packet capturen skall rulla 24/7 utan avbrott hos er (där nya filer genereras var femte minut). Endast en capture av de första 200 – 600 byte i varje paket behövs.

Självklart hjälper vi er med råd, tips och konfigurationer för era sensorer från början till slut vid installationen. Vi bygger ett dedikerat Edinasystem i vår hosting där vi gör en grundkonfiguration till er specifika it-miljö. Vi ser till att allt fungerar tillsammans med era it-team för en överlämning.

Hur prissätts tjänsten?


Vi har gjort det enkelt där vi prissätter på den totala mängden metadata (pcap-filer) systemet hanterar per månad.

Vi har öppnat upp där ni kan ha flera olika inhämtningspunkter/sensorer, upp till 15 stycken per analyseringsserver för samma pris där varje inhämtningspunkt kan vara ett eller flera segment, enskild server eller flera servrar, en eller flera brandväggar. Vi har inga subscriptions där ni skall betala extra för att få fler funktioner, allt är på by default.


Intresserad av Edina?


Kontakta Reykja

Reykja bird



© 1998 - 2024 Reykja Cybersecurity AB - Designed and coded by Reykja - All rights reserved