Log Management 101: The Key to Protecting Digital Assets

Log Management: De sleutel tot het beschermen van digitale assets

Logboekgegevens zijn strategisch bij het beschermen van digitale assets tegen cyberaanvallen.

De meeste logboekgegevens zijn afkomstig van softwaretoepassingen en hardware apparaten, die automatisch en continu tijdstempel logbestanden leveren voor elk 'event' of transactie die plaatsvindt. Microsoft systemen produceren Windows-events logboekbestanden terwijl UNIX servers en netwerkapparaten gebruik maken van de Syslog standaard. Apparaten die W3C/IIS-logboekbestanden maken, omvatten applicatieservers (zoals Apache en IIS) en load balancers, firewalls, proxyservers etc.

Sommige netwerken zijn groot genoeg om miljarden logbestanden te produceren. De uitdaging ligt dus in het beheren van de processen en het beleid voor analyse, opslag, archivering en uiteindelijk het verwijderen van de logs. De constante stroom aan informatie triggered dus ook de lastige taak om toezicht te houden op beveiliging en compliance. En die taak ligt bij IT.

Om een sterke beveiliging op te bouwen en altijd te voldoen aan de regelgeving, moet IT een manier bedenken om met de informatie overload om te gaan. In deze blog bespreken we een overzicht van bestandslogboeken, samen met een paar tips over hoe u uw log management processen efficiënter laten werken.

Real-Time Log Analyse onthult cyberaanvallen

Logs maken documentatie van 'event' die plaatsvinden op IT systemen. Deze gebeurtenissen vertegenwoordigen doorgaans een bericht, token, aantal, patroon, waarde of markering die kunnen worden herkend in een doorlopende stroom van bewaakte ingangen, zoals netwerk verkeer, foutsignalen, overschreden drempels en geaccumuleerde tellingen. Door de gebruiker gegenereerde gebeurtenissen omvatten toetsaanslagen en muisklikken, terwijl door het systeem gegenereerde gebeurtenissen het laden van programma's en fouten omvatten, die betrekking kunnen hebben op het besturingssysteem, een applicatie, of een beveiligingsevent.

De mogelijkheid om real-time network log event collection en analyse uit te voeren speelt een cruciale rol bij het direct  blootstellen van cyberaanvallen en het identificeren van de eventuele schade die al is aangericht aan digitale bestanden en andere assets. Elk logbestand bevat waardevolle informatie, en met de juiste analyse vindt u inbraakpogingen, hacks, verkeerd geconfigureerde apparatuur en andere netwerkproblemen identificeren.

Log management helpt u niet alleen bij het identificeren van netwerkproblemen, maar ook met compliance. Regelgeving zoals AVG, PCI DSS, HIPAA en SOX, vereisen dat u regelmatig logboeken bewaart en controleert.

Log analyse kan het best worden uitgevoerd met security information en event management (SIEM) software. Die creëert audittrails van wijzigingen in IT infrastructuren. De toonaangevende SIEM-oplossingen verhogen de efficiëntie van uw log management door het verzamelen en consolideren van gegevens van meerdere apparaten in uw hele IT omgeving te automatiseren.

Tips voor het efficiënter maken van logboek management

Een van de sleutels tot effectieve analyse is de mogelijkheid om de huidige activiteit te vergelijken met de normale activiteit op uw netwerk. Hiermee kunt u afwijkingen gemakkelijker identificeren en zich verdiepen in de hoofdoorzaak van problemen.

Bewaak de activiteiten op servers, firewalls en andere netwerkapparaten, en controleer ook de logboeken van werkstations en slimme apparaten. Deze apparaten kunnen u vertellen over gebeurtenissen zoals een eindgebruiker die een USB aansluit. In dit voorbeeld ziet u wie de USB heeft aangesloten en of die gebruiker deel uitmaakt van een groep die toegang heeft tot dat specifieke apparaat.

Hier volgen enkele aanvullende tips om uw log management processen te verbeteren:

  • Controleer apparaten om te controleren of de datum juist is en of de tijd synchroniseert tussen alle systemen. Bij het correleren van beveiligingsgebeurtenissen moet de tijd nauwkeurig zijn tussen apparaten om problemen correct te diagnosticeren.
  • Definieer de gebeurtenissen met betrekking tot cyberaanvallen die zich in de afgelopen 12 maanden hebben voorgedaan om een idee te krijgen voor welke soorten activiteiten onlangs hacks zoals inbreuken op het netwerk hebben veroorzaakt.
  • Gebruik een threat intelligence service om de waarschijnlijke kenmerken van toekomstige succesvolle aanvallen te identificeren en vervolgens te bepalen welke events waarschuwingen moeten geven, zodat u deze aanvallen op tijd kan detecteren en stoppen; focus op de aanvalstypen die de grootste bedreiging vormen voor uw bedrijf.
  • Vertrouw op de standaardinstellingen van uw SIEM-oplossing voor het verzamelen van logboeken van laptops, desktops, servers en netwerkapparaten; de standaardinstellingen bieden voldoende informatie voor de meeste security events.
  • Voorkom informatie overbelasting door alleen extra logboekbestandsgegevens aan uw instellingen toe te voegen wanneer er een beveiligingsincident aan de gang is. En vergeet niet om het extra detail uit te schakelen wanneer het evenement eindigt!
  • Overweeg een toepassing van derden te gebruiken om logboek gegevens van mobiele apparaten te verzamelen. typische SIEM-oplossingen kunnen basis loggegevens uit mobiele apparaten extraheren, maar met veel minder detail dan wat er uit desktops kan worden gehaald.
  • Blokgegevens genereren op lokale systemen, maar filter en verzend alleen kritieke gebeurtenissen naar uw SIEM. dit is een andere manier om informatie-overload te voorkomen. U bij het uitvoeren van forensisch onderzoek wachten met het ophalen van toegevoegde gegevens uit lokale systemen.
  • Voordat u een gecentraliseerde SIEM-oplossing selecteert die u de mogelijkheid biedt om de bovenstaande tips toe te passen, test u ten minste drie om te zien welke oplossing het beste werkt in uw omgeving. Test bijvoorbeeld de snelheid van query's, die antwoorden moeten krijgen in tien seconden. 

    Gecentraliseerd logboekbeheer is essentieel voor beveiliging en compliance

    Gecentraliseerd logboekbeheer moet een belangrijk onderdeel zijn van uw beveiligings- en nalevingsinitiatieven. Met gecentraliseerde logboeken u de toegang tot bestanden, ongeautoriseerde activiteiten door gebruikers, beleidswijzigingen en andere kritieke activiteiten controleren, controleren en rapporteren over bestandstoegang, ongeautoriseerde activiteiten door gebruikers, beleidswijzigingen en andere kritieke activiteiten die worden uitgevoerd tegenover bestanden en mappen die eigen of gereguleerde persoonsgegevens bevatten, zoals werknemers-, klant- en financiële gegevens.

    Uw gecentraliseerde strategie moet onder meer het toezicht houden op Windows-events logboeken, syslogs en W3C-logboeken (zoals hierboven wordt verwezen). Dat komt omdat datalekken evenzeer afkomstig zijn van interne en externe bronnen. Windows event logboeken geven u inzicht in schadelijke activiteiten door ontevreden werknemers, terwijl syslogs controle over uw netwerk perimeter mogelijk maakt.

    Windows-systemen hebben verschillende logboeken die consistent moeten worden gecontroleerd. Het belangrijkste is het beveiligingslogboek, dat belangrijke informatie geeft over wie is aangemeld bij het netwerk en wat ze doen. Beveiligingslogboeken helpen IT inzicht te krijgen in als er kwetsbaarheden bestaan in de implementatie van een beveiligingssysteem.

    Syslog is een standaard bericht formaat en log transmissie protocol. Netwerkapparaten, UNIX- en Linux-systemen en vele software- en hardwareplatforms implementeren syslog om die logbestanden te verzenden en te verzamelen in een gecentraliseerde log management opslagplaats. Met syslog-informatie left u zeer gedetailleerde informatie vast over de status van een apparaat of een aantal apparaten. De informatie kan vervolgens worden ontleed om atypisch gedrag te identificeren door middel van veranderingen in operationele of prestatiepatronen.

    Opslag van logboekgegevens van syslog kan ook compliance ondersteunen door controlelogboeken aan te bieden om elke gebeurtenis te kunnen traceren die van invloed kan zijn op de betrouwbaarheid van het netwerk en de bescherming van gegevens. Dit is belangrijk omdat het aan auditors bewijst dat u controle hebt over alle informatie.

    W3C is handig door het verstrekken van informatie over gebruikers- en serveractiviteit. Deze logboeken kunnen worden gecontroleerd op informatie om ongeautoriseerde pogingen om een systeem te compromitteren te identificeren.

    Uw IIS-logboekbestanden van uw webserver hebben bijvoorbeeld een vaste ASCII-indeling die niet kan worden aangepast. Deze logboeken registreren meer informatie dan andere logboekbestandsindelingen, waaronder basisitems, zoals het IP-adres van de gebruiker, gebruikersnaam, aanvraagdatum en -tijd, statuscode van de service en het aantal ontvangen bytes. Daarnaast bevat de IIS-logboekbestandsindeling gedetailleerde items zoals de verstreken tijd, het aantal verzonden bytes, actie en doelbestand.

    Tags

    Start nu met WhatsUp Gold

    Comments
    Comments are disabled in preview mode.