Hvad Er SIEM Og Log Management? Styrk Jeres IT-Sikkerhed

Agnes Norrman
By: Agnes Norrman IT-sikkerhed | 30 november

I dette blogpost sætter vi fokus på en udfordring, som mange virksomheder står overfor i dag: indsamling og lagring af logfiler. Vi forklarer, hvorfor det er nødvendigt, og hvordan din organisation kan klare opgaven ved hjælp af Log management og SIEM. Du vil lære, hvad disse værktøjer kan, og hvordan de kan hjælpe din virksomhed med at få et bedre overblik over jeres IT-systemer.

Din virksomhed kan have haft et sikkerhedsbrud, uden at du ved det

Det kan være svært for virksomheder at vurdere om de har mistet data eller har været udsat for sikkerhedsrelaterede hændelser, fordi de ikke ved hvor de skal kigge for at finde ud af det. Firewalls, anti-virus og backup-procedurer er gode forholdsregler, men vores erfaring siger, at det ikke er nok. Disse tiltag kan hjælpe imod sikkerhedsbrud, men hvis først noget kommer igennem, kan det være svært at opdage det, har du så godt som ingen mulighed for at opdage og reagere på det.

Et sikkerhedsbrud kan skyldes, at en ekstern part får adgang til virksomhedens systemer, eller at der har været en medarbejder i selve virksomheden, der har forårsaget et sikkerhedsbrud.

Dine servere lagrer ikke alt

Grunden til denne usikkerhed er, at de fleste organisationer ikke har kontrol over, hvordan de indsamler og lagrer deres log-filer. En udbredt misforståelse, som vi hører i mange organisationer, er, at folk tror at deres servere gemmer alt, og at de blot kan gå tilbage og gennemse serverens logs, hvis de har brug for det. Dette er imidlertid ikke tilfældet. Nogle organisationer tror måske endda, at de, fordi de aldrig har haft nogen problemer med sikkerhed, ikke har brug for bedre viden.

Minimer risikoen af et sikkerhedsbrud

Der kommer hele tiden nye metoder hvorpå nogen eller noget kan få adgang til dine data udenom alt perimetersikring. Derfor skal der løbende efterforskes i de sårbarheder/metoder, der anvendes til at kompromittere data, så man ved præcis hvilke indikatorer man skal kigge efter/alarmere på.

Budskabet i dette indlæg er, at implementering af analyse af logs med et sikkerhedsmæssigt fokus vil give enhver virksomhed meget i forhold til sikkerhed, awareness og netværksforståelse. Men det kræver en erkendelse af, at det tager tid og bør projekteres. Der er så meget viden fra specialister på forskellige områder – både tekniske og ikke-tekniske, som skal være tilgængeligt i implementeringsfasen. Overvej derfor at få hjælp af eksperter til projektet.

Billede af Risiko-analyse skabelon

 

Brug log management til at få overblik

Log-filer oprettes automatisk i IT-systemer og fungerer som et tidsstemplet stykke dokumentation for handlinger, som finder sted i et system, en applikation eller en enhed (f.eks. en server). Næsten alle IT-systemer genererer log-filer. Log-filer fortæller altså, hvilke programmer og systemer, der kommunikerer på hele ens IT-system.

Log-filer er værdifulde for organisationer, fordi de skaber et dokumenteret overblik over handlinger, kommunikationer og adfærd i et system, en applikation eller en enhed. Bliver man udsat for cyber-angreb, kan log-filer bruges til at undersøge og analysere, hvor angrebet kommer fra samt, hvordan det påvirker IT-infrastrukturen.

“Bliver man udsat for cyber-angreb, kan log-filer bruges til at undersøge og analysere, hvor angrebet kommer fra samt, hvordan det påvirker IT-infrastrukturen”.

Log management drejer sig om at indsamle alle relevante logs fra de vigtigste systemer og enheder i organisationen. Derefter gemmes disse logs på én enkelt placering, hvorfra IT-afdelingen kan undersøge dem. Ved at indsamle og læse relevante logs vil IT-afdelingen kunne se, hvordan systemet fungerer under regelmæssige forhold, hvilket gør dem i stand til at reagere, når de lægger mærke til uregelmæssigheder.

Sørg for at have en log management politik

Nøglen til at kunne analysere logs med et sikkerhedsmæssigt fokus skal findes i forståelsen af alt det der er udenom et SIEM-produkt. Dette er blandt andet spørgsmål som:

  • Hvilke audits skal der sættes?

  • Hvordan får man powershell log med?

  • Hvilke events kan frasorteres?

  • Hvilke politikker og standarder har virksomheden

  • Hvem skal reagere på alarmer?

  • Hvem skal behandle sager af personalemæssig karakterer

  • Hvordan skal medarbejderne informeres,

  • Hvordan skal det tekniske skaleres?

  • Hvem leverer den bedste løsning til formålet?

  • Og meget meget mere...

Analyse af logs er dog ofte en manuel opgave som kan være meget tidskrævende og have en stor fejlmargen. Derudover foregår analysen ofte efter at en hændelse er sket, hvilket jo ikke forebygger sikkerhedsbrud, men blot hjælper en med at opdage dem. Et SIEM-system kan være løsningen på dette problem.

Du skal have log management før du implementerer SIEM

Det er dog vigtigt at understrege, at behovet for henholdsvis log management og SIEM varierer fra virksomhed til virksomhed. Hvis din organisation har brug for et system, som kan indsamle alle dine logs under én enkelt placering, anbefaler vi log management-systemet. Hvis du ønsker at bruge logs til at administrere IT-sikkerhed, anbefaler vi SIEM. En god ting at have i baghovedet er, at log management skal implementeres før, du kan implementere et SIEM-system.

Log management til indsamling - SIEM til sikkerhed

Der er to væsentlige forskelle mellem de to systemer. Log management anvendes primært til indsamling af log-data. SIEM anvendes primært til sikkerhedsformål. Et Log management-system kan bruges til sikkerhedsformål, men dette er meget kompliceret og tidskrævende. Fordelen ved SIEM er, at systemet foretager analyse i realtid, hvilket log management ikke gør.
Det betyder dog ikke, at der ikke er nogen ulemper ved et SIEM-system. Virksomheders IT-systemer ændrer sig eller opdateres konstant, hvilket kan resultere i mange falske alarmer i dit SIEM-system. Dette skaber meget arbejde for de folk som arbejder med systemet, da det kan være besværligt at gennemgå data for at finde ud af, om trussel er reel, når en alarm modtages.

Derfor er IT-afdelingen nødt til at kunne genkende og adskille regelmæssig og uregelmæssig adfærd, hvilket kan gøres ved hjælp af log management. Først når regelmæssig aktivitet kan genkendes, er det muligt at se, når der foregår uregelmæssig aktivitet. Man kan sige, at log management er kagen og SIEM er glasuren.

SIEM er dit automatiske alarmsystem

Når de relevante data er blevet indsamlet i log-overvågningssystemet, er det vigtigt at vide, hvordan du får indsigt og værdi fra dem.
Security Information and Event Management (SIEM) er udviklet ud fra log management.

SIEM kombinerer teknologier fra security event management og security information management. SIEM identificerer, kategoriserer og analyserer hændelser og handlinger fundet i log-filer.

Fordelene ved SIEM

En SIEM løsning sender rapporter til IT-afdelingen om sikkerhedsrelaterede hændelser såsom godkendte og afviste log-ind-forsøg. Det kan også sende notifikationer, hvis analysen viser, at der foregår en gentagen handling i systemet, som strider imod de forudindstillede regelsæt, hvilket kan være tegn på et potentielt sikkerhedsrelateret problem.

Alt data der er fundet på netværket, som der stikker uden for rammerne skal elimineres. Det er alt fra systemaccounts der hamrer på AD, brugere der har hola, devices der ikke burde være på netværket, errors, tidsforskydninger der gør at kerberos anmodningen ikke lykkes og fejlparsedelogs der giver forkerte resultater.

Ulemperne ved SIEM

En af ulemperne ved en SIEM løsning er systemets ressourcekrævende proces. Af tidsmæssige og økonomiske årsager er SIEM slet ikke en mulighed for mange virksomheder. Derudover kræver SIEM, at virksomhederne kan vedligeholde og betjene systemet efter implementeringen, hvilket kræver yderligere ressourcer samt specialiserede kompetencer.

Brug log management/SIEM til at følge GDPR

Hvis din virksomhed ønsker at forebygge, opdage og reagere på sikkerhedsrelaterede hændelser, kan log management og SIEM kraftigt anbefales.

Én god grund til at implementere disse er, at de kan hjælpe dig med at overholde GDPR. Idet de to systemer giver dig oplysninger om, hvordan din organisations IT-systemer anvendes, giver de dig et overblik over, hvem som tilgår personlige data i din organisation. Denne monitoreringsproces kan hjælpe dig med at overholde GDPR.

Ofte stillede spørgsmål

Hvad bruges et SIEM-værktøj til?

Et SIEM-værktøj (Security Information and Event Management) bruges i cybersikkerhed og IT-sikkerhed til at overvåge og analysere logfiler fra forskellige systemer og applikationer for at opdage og reagere på potentielle sikkerhedstrusler. SIEM-værktøjer kan også samle og korrelere information fra forskellige kilder for at identificere sikkerhedsmæssige mønstre og give indsigt i netværkssikkerheden.

Hvad er forskellen mellem SIEM og SOC?

SIEM (Security Information and Event Management) og SOC (Security Operations Center) er to forskellige typer af cybersikkerhedsløsninger. SIEM er et værktøj til at samle og analysere sikkerhedsrelaterede data fra forskellige kilder for at identificere potentielle sikkerhedstrusler. SOC er en dedikeret enhed, der overvåger og beskytter en organisations systemer og netværk mod sikkerhedstrusler

Hvad er de 3 typer data i SIEM?

De tre typer data i SIEM (Security Information and Event Management) er logdata, strømdata og pakke-data. Logdata er genereret af systemer og applikationer, strømdata er genereret af netværkselementer og enheder, og pakke-data er genereret af netværksudstyr og applikationer.