SIEM and Log Management
SIEM and Log Management

Hvad Er SIEM og Log management? Sådan Her Kan Det Forbedre Din IT-sikkerhed

Agnes

I dette blogpost sætter vi fokus på en udfordring, som mange virksomheder står overfor i dag: indsamling og lagring af logfiler. Vi forklarer, hvorfor det er nødvendigt, og hvorrdan din organisation kan klare opgaven ved hjælp af Log management og SIEM. Du vil lære, hvad disse værktøjer kan, og hvordan de kan hjælpe din virksomhed med at få et bedre overblik over jeres IT-systemer.

Din virksomhed kan have haft et sikkerhedsbrud, uden at du ved det

Det kan være svært for virksomheder at vurdere om de har mistet data eller har været udsat for sikkerhedsrelaterede hændelser, fordi de ikke ved hvor de skal kigge for at finde ud af det. Firewalls, anti-virus og backup-procedurer er gode forholdsregler, men vores erfaring siger, at det ikke er nok. Disse tiltag kan hjælpe imod sikkerhedsbrud, men hvis først noget kommer igennem, kan det være svært at opdage det, har du så godt som ingen mulighed for at opdage og reagere på det.

Et sikkerhedsbrud kan skyldes, at en ekstern part får adgang til virksomhedens systemer, eller at der har været en medarbejder i selve virksomheden, der har forårsaget et sikkerhedsbrud.

Dine servere lagrer ikke alt

Grunden til denne usikkerhed er, at de fleste organisationer ikke har kontrol over, hvordan de indsamler og lagrer deres log-filer. En udbredt misforståelse, som vi hører i mange organisationer, er, at folk tror at deres servere gemmer alt, og at de blot kan gå tilbage og gennemse serverens logs, hvis de har brug for det. Dette er imidlertid ikke tilfældet. Nogle organisationer tror måske endda, at de, fordi de aldrig har haft nogen problemer med sikkerhed, ikke har brug for bedre viden.

Minimer risikoen af et sikkerhedsbrud

Der kommer hele tiden nye metoder hvorpå nogen eller noget kan få adgang til dine data udenom alt perimetersikring. Derfor skal der løbende efterforskes i de sårbarheder/metoder, der anvendes til at kompromittere data, så man ved præcis hvilke indikatorer man skal kigge efter/alarmere på.

Budskabet i dette indlæg er, at implementering af analyse af logs med et sikkerhedsmæssigt fokus vil give enhver virksomhed meget i forhold til sikkerhed, awareness og netværksforståelse. Men det kræver en erkendelse af, at det tager tid og bør projekteres. Der er så meget viden fra specialister på forskellige områder – både tekniske og ikke-tekniske, som skal være tilgængeligt i implementeringsfasen. Overvej derfor at få hjælp af eksperter til projektet.

Hvis du er interesseret i en komplet log management og SIEM løsning til din organisation, så kan du læse mere om vores løsning her. Det er et produkt, som din organisation kan implementere for at forbedre jeres IT-sikkerhed.

Brug log management til at få overblik

Log-filer oprettes automatisk i IT-systemer og fungerer som et tidsstemplet stykke dokumentation for handlinger, som finder sted i et system, en applikation eller en enhed (f.eks. en server). Næsten alle IT-systemer genererer log-filer. Log-filer fortæller altså, hvilke programmer og systemer, der kommunikerer på hele ens IT-system.

Log-filer er værdifulde for organisationer, fordi de skaber et dokumenteret overblik over handlinger, kommunikationer og adfærd i et system, en applikation eller en enhed. Bliver man udsat for cyber-angreb, kan log-filer bruges til at undersøge og analysere, hvor angrebet kommer fra samt, hvordan det påvirker IT-infrastrukturen.

“Bliver man udsat for cyber-angreb, kan log-filer bruges til at undersøge og analysere, hvor angrebet kommer fra samt, hvordan det påvirker IT-infrastrukturen”.

Log management drejer sig om at indsamle alle relevante logs fra de vigtigste systemer og enheder i organisationen. Derefter gemmes disse logs på én enkelt placering, hvorfra IT-afdelingen kan undersøge dem. Ved at indsamle og læse relevante logs vil IT-afdelingen kunne se, hvordan systemet fungerer under regelmæssige forhold, hvilket gør dem i stand til at reagere, når de lægger mærke til uregelmæssigheder.

Sørg for at have en log management politik

Nøglen til at kunne analysere logs med et sikkerhedsmæssigt fokus skal findes i forståelsen af alt det der er udenom et SIEM-produkt. Dette er blandt andet spørgsmål som:

Analyse af logs er dog ofte en manuel opgave som kan være meget tidskrævende og have en stor fejlmargen. Derudover foregår analysen ofte efter at en hændelse er sket, hvilket jo ikke forebygger sikkerhedsbrud, men blot hjælper en med at opdage dem. Et SIEM-system kan være løsningen på dette problem.

Du skal have log management før du implementerer SIEM

Det er dog vigtigt at understrege, at behovet for henholdsvis log management og SIEM varierer fra virksomhed til virksomhed. Hvis din organisation har brug for et system, som kan indsamle alle dine logs under én enkelt placering, anbefaler vi log management-systemet. Hvis du ønsker at bruge logs til at administrere IT-sikkerhed, anbefaler vi SIEM. En god ting at have i baghovedet er, at log management skal implementeres før, du kan implementere et SIEM-system.

Log management til indsamling - SIEM til sikkerhed

Der er to væsentlige forskelle mellem de to systemer. Log management anvendes primært til indsamling af log-data. SIEM anvendes primært til sikkerhedsformål. Et Log management-system kan bruges til sikkerhedsformål, men dette er meget kompliceret og tidskrævende. Fordelen ved SIEM er, at systemet foretager analyse i realtid, hvilket log management ikke gør.
Det betyder dog ikke, at der ikke er nogen ulemper ved et SIEM-system. Virksomheders IT-systemer ændrer sig eller opdateres konstant, hvilket kan resultere i mange falske alarmer i dit SIEM-system. Dette skaber meget arbejde for de folk som arbejder med systemet, da det kan være besværligt at gennemgå data for at finde ud af, om trussel er reel, når en alarm modtages.

Derfor er IT-afdelingen nødt til at kunne genkende og adskille regelmæssig og uregelmæssig adfærd, hvilket kan gøres ved hjælp af log management. Først når regelmæssig aktivitet kan genkendes, er det muligt at se, når der foregår uregelmæssig aktivitet. Man kan sige, at log management er kagen og SIEM er glasuren.

SIEM er dit automatiske alarmsystem

Når de relevante data er blevet indsamlet i log-overvågningssystemet, er det vigtigt at vide, hvordan du får indsigt og værdi fra dem.
Security Information and Event Management (SIEM) er udviklet ud fra log management.

SIEM kombinerer teknologier fra security event management og security information management. SIEM identificerer, kategoriserer og analyserer hændelser og handlinger fundet i log-filer.

Fordelene ved SIEM

Et SIEM-system sender rapporter til IT-afdelingen om sikkerhedsrelaterede hændelser såsom godkendte og afviste log-ind-forsøg. Det kan også sende notifikationer, hvis analysen viser, at der foregår en gentagen handling i systemet, som strider imod de forudindstillede regelsæt, hvilket kan være tegn på et potentielt sikkerhedsrelateret problem.

Alt data der er fundet på netværket, som der stikker uden for rammerne skal elimineres. Det er alt fra systemaccounts der hamrer på AD, brugere der har hola, devices der ikke burde være på netværket, errors, tidsfordkydninger der gør at kerberos anmodningen ikke lykkes og fejlparsedelogs der giver forkerte resultater.

Ulemperne ved SIEM

En af ulemperne ved SIEM er systemets ressourcekrævende proces. Af tidsmæssige og økonomiske årsager er SIEM slet ikke en mulighed for mange virksomheder. Derudover kræver SIEM, at virksomhederne kan vedligeholde og betjene systemet efter implementeringen, hvilket kræver yderligere ressourcer samt specialiserede kompetencer.

Introducerer CyberPilot SIEM - En fuld log management og SIEM løsning

Hos CyberPilot forstår vi denne udfordring. Vi har derfor udviklet CyberPilot SIEM og Log Management, et produkt som alle virksomheder kan implementere. CyberPilot SIEM er en komplet SIEM-løsning til din organisation og kan også fungere som tilføjelse til allerede eksisterende SIEM-systemer

Brug log management/SIEM til at følge GDPR

Hvis din virksomhed ønsker at forebygge, opdage og reagere på sikkerhedsrelaterede hændelser, kan log management og SIEM kraftigt anbefales.

Én god grund til at implementere disse er, at de kan hjælpe dig med at overholde GDPR. Idet de to systemer giver dig oplysninger om, hvordan din organisations IT-systemer anvendes, giver de dig et overblik over, hvem som tilgår personlige data i din organisation. Denne monitoreringsproces kan hjælpe dig med at overholde GDPR.

Tilmeld dig vores nyhedsbrev

Modtag nyheder om gratis skabeloner, værktøjer og blogindlæg fra CyberPilot

Gør som 2000+ andre og tilmeld dig vores nyhedsbrev. Her modtager du løbende inspiration, værktøjer og historier om god IT-sikkerhed – direkte i din indbakke. Vi sender ca. én gang om måneden.

Top

Kontakt os

Du er altid velkommen til at kontakte os
for en uformel snak om IT-sikkerhedsudfordringer..

Kontakt os

Du er altid velkommen til at kontakte os
for en uformel snak om IT-sikkerhedsudfordringer..