Når opsamling af logfiler bliver intelligent

Logfiler er meta-data. Altså data der kan fortælle hvad der sker med andre data. Derfor ligger der en masse gode historier gemt i dine logfiler. Historier, der aldrig bliver fortalt, fordi ingen nogensinde kigger i dem.

Det kan vi hos Netic for så vidt godt forstå. En virksomhed af mellemstørrelse kan generere tusindvis af loglinjer i sine IT-systemer – hvert eneste sekund. Det kan ingen mennesker skabe sig overblik over, hvilket naturligvis er en vigtig grund til, at ikke ret mange anvender logs aktivt.

Nogle virksomheder er måske kommet så langt, at man sender sine log-filer til en syslog-server, så man i det mindste har dem samlet et sted. Dette giver dog i sig selv ikke et mærkbart forbedret overblik.

I forbindelse med GDPR hvor virksomheder, der behandler persondata, mødes med en række konkrete lognings- og rapporteringskrav, kan det derfor være en god idé for mange virksomheder at undersøge, hvorvidt en bedre og mere strømlinet behandling af logdata kan være en fordel.

SIEM

Der findes heldigvis muligheder for at få de gode historier fra virksomhedens logfiler, og den bedste af de muligheder hedder SIEM.

SIEM står for Security Information and Event Management, som på dansk vel nærmest kan oversættes til håndtering af viden om sikkerhedshændelser.

Hvad er det så et SIEM-system kan, som man ikke kan hvis man blot opsamler logs? Fra Netic vil vi gerne fremhæve fire ting:

  • Systemets evne til at forstå og fortolke jeres logfiler
  • Muligheden for at visualisere logs
  • Muligheden for at korrelere logs fra forskellige enheder
  • Muligheden for at rapportere

I det følgende vil vi komme nærmere ind på de fire fordele hver for sig, men til sammen gør de, at jeres viden om hvad der sker i jeres systemer bliver en styrke i både den daglige drift, men også i forhold til konkrete sikkerhedshændelser.

Kort sagt: I går fra at famle i blinde til at kunne reagere med meget kort varsel på hændelser i jeres systemer.

1.Evnen til at forstå logs

Et SIEM-system er bygget fra bunden til at håndtere syslogs. Det vil sige, at der i systemet ligger en stor mængde viden om, hvordan logfiler skal forstås og fortolkes. Rigtigt mange ting er stort set ens fra enhed til enhed. Det vil sige, at der er ting i logfilen fra en windows-server, som vil gå igen i log-filen fra eksempelvis en netværks-switch.

Men men… systemproducenterne har også såkaldt proprietære koder i deres logs. Altså koder, der er unikke for den enkelte producent eller endda den enkelt systemenhed.

Derfor skal der være en stor mængde intelligens i et SIEM-system. Denne intelligens kan enten være indbygget i systemet fra start, hvilket er gældende for mange SIEM-systemer. Alternativt kan man selv ”lære” systemet at forstå de logs, som den pågældende enhed sender til sit SIEM. Dette kaldes normalisering af data, og kan godt være en stor opgave, som dog kan brydes ned i bidder.

2. Muligheden for at visualisere logs

Et af SIEM-systemets helt store forcer er, at det kan omsætte dine uoverskuelige log-filer til grafik – altså visualiseringer af, hvad der sker i dine IT-systemer.

Dette gør, at SIEM kan give dig et overblik over dine systemers aktuelle tilstand på en måde, som ingen andre løsninger kan give dig. Et eksempel kan være en graf, der viser dig, hvor mange brugere der har været logget på HR-systemet i dag.

Eller en graf der viser dig de 10 brugere, der har sendt flest data ud af huset. Pointen er, at hvis det kan findes i dine log-filer, kan du visualisere det.

3. Korrelering af data

Her nærmer vi os kernen af, hvorfor SIEM er smart. I et SIEM-system er det muligt at korrelere data fra forskellige system-enheder til at give et komplet billede af en hændelse eller en række af hændelser.

For en given hændelse er det derfor muligt at følge de digitale spor, som efterlades i log-filerne fra jeres forskellige enheder, og sammenholde eks. IP-adresse med en given bruger og helt ned på server- og applikationsniveau fastslå, hvad der reelt er sket.

Det kræver naturligvis, at man har konfigureret de enkelte enheder til faktisk at sende logfilerne til SIEM, men hvis man har det, vil SIEM-systemet optræde som et såkaldt single-pane-of-glass ind til alle hændelser i jeres systemer. Eller på dansk: Uanset hvad der er sket, skal I kun søge efter årsager og sammenhænge ét sted.

4. Rapportering

Fordi SIEM kan optræde som et knudepunkt for alt, hvad der sker i jeres systemer, er det oplagt også at basere sin rapportering på SIEM.

Denne rapportering kan naturligvis skræddersys på præcist den måde, I ønsker. Derfor er det også muligt at definere de søgninger i SIEM-systemet, der er relevante for at dokumentere jeres GDPR-compliance – og rapportere på baggrund af disse søgninger.

Med det rigtige hjemmearbejde behøver IT-revisionen ikke give anledning til særlige hovedpiner – simpelthen fordi I kan konfigurere SIEM til at rapportere på det, der er behov for og stort set have dokumentationen klar, til når revisoren træder ind ad døren.

 

Se også: Big Data Analytics