Analysera loggar med ett SIEM-system • Secorum
Hur använder man ett SIEM-system för att analysera loggar?
SIEM, SIM, logghantering, analys, logg, logganalys, loggar
21808
page-template,page-template-full_width,page-template-full_width-php,page,page-id-21808,page-child,parent-pageid-21752,ajax_updown_fade,page_not_loaded,boxed,select-child-theme-ver-1.0.0,select-theme-ver-3.7,,wpb-js-composer js-comp-ver-5.0.1,vc_responsive

Analysera loggar med ett SIEM-system

Analysen sker sedan loggdata skapats, hanterats (t.ex. berikats eller filtrerats, normaliserats m.m.) och lagrats. Analysens värde mäts i både förmåga och riktighet. Med förmåga avses korreleringsförmåga, realtidsanalys, snabbhet med mera. Med riktighet avses till vilken nivå du kan lita på den information som analysen hanterar.

 

Secorums konsulter har alla erfarenhet av analysverksamheten inom olika organisationer. Därmed vet vi hur det känns att jobba i miljöer där vi inte vet och där vi vet att all data är tillgänglig när analysen görs och att vi kan lita på informationen till en sådan nivå att åtgärder kan vidtas i form av rapportering och hantering. Att inte kunna lita på informationen fullt ut skapar dåliga förutsättningar för en fortsatt verksamhet. Investeringen dör en långsam och plågsam död till begränsad eller ingen nytta. Vi ser det men medverkar inte till det, vi kommer ibland in för sent men arbetar mycket målmedvetet med att få organisationen att förstå hur analysen påverkas av olika val från förstudie till implementation.

 

Förutsättningen för en fungerande analys bygger i huvudsak på följande punkter:

  • Det finns tydliga syften och mål med analysverksamheten som är förankrade inom organisationens ledning
  • Vad som ska loggas och vad som ska analyseras härleds ur beslutade syften och mål
  • Analytikerna utgör med tiden främsta kravställaren på vilken information som behöv loggas för att uppnå syften och mål
  • Analytikerna jobbar som kravställare på vad som ska loggas i nyutveckling eller vid införande av nya loggenererande IT-system
  • Analytikerna detekterar och rapporterar till behöriga mottagare (tydliga processer)
  • Analytikerna tillåts arbeta fritt för att uppnå syfte och mål
  • Beslut om vilka övervakningsfrågor som ska aktualiseras beslutas av andra, t.ex. i ett regelråd

Förmåga

Vilken produkt som än väljs så har de alla en sak gemensamt. Det är i samband med analysen som investeringen i ett logghanteringssystem värderas. Får vi inte svar på frågor vi förväntar oss få svar på döms hela anläggningen ut. Vi har sett det hända och även om slutsatsen många gånger är fel så är det ett faktum. Produkten är kass och likaså konsulterna som byggt den. Detta trots att felet många gånger ligger i att logghanteringssystemet fyllts med de loggar man har, loggar som inte är anpassade för en central analys och loggar som skapats utan tanke på korreleringskrav eller att de ska läsas av andra än tekniker och så vidare.

 

För att uppnå en önskad analysförmåga krävs flera saker. Den viktigaste ligger utanför logghanteringsprodukten och handlar om organisationens förmåga att kravställa på att rätt loggdata genereras och att organisationen kan formulera relevanta syften och mål för det nya systemets verksamhet. Många gånger har projektet ett för stort fokus på att lösa loggfrågan med en produkt, vilket historien visat sig vara fel. Det finns ingen produkt i världen som löser loggfrågan om fel information loggas.

Riktighet

Går det att använda loggdata som bevisning? Svar ja, läs Roger Lindblom Magisteruppsats ”Loggar som bevisning” och det framkommer att loggdata hanteras som all annan skriftlig bevisning. Dock med härledningen att riktighet är en sak och att tillräcklig information en annan samt att riktigheten endast kan bedömas endast under vissa givna förutsättningar. Således inget nytt, men något som tidigare inte tillämpats på loggdata i någon större utsträckning. I första hand gäller detta loggdata som skapats av organisationens användare (interna och externa användare).

 

Secorums personal har till delar polisiär bakgrund och därmed en stor utredningsvana samt att designa lösningar som möjliggör en analys som kan ligga till grund för långtgående interna och externa beslut. Till delar möjliggörs detta genom val av rätt produkt, men till största delen möjliggörs det genom dokumentation och kravställning som gör det möjligt för en part framöver att bedöma informationens riktighets- och sanningsinnehåll.

 

Riktigheten inom loggdata som skapas av komponenter inom infrastrukturen kan som regel tillåtas ha en lägre riktighetsgrad. Till stora delar beror detta på deras inbyggda funktion att endast tillåta export av deras loggdata via syslog (ofta UDP) och att första steget i insamlingskedjan är svår att garantera. Det andra skälet är att skadan av en korrupt logg från infrastrukturen sällan direkt påverkar hanteringen av en användare på samma sätt som en felaktig logg från ett slutanvändarsystem skulle göra.

Analysen som en tjänst

Secorum AB har idag analysansvar inom vissa organisationer. Det är ett arbete vi aktivt eftersträvar att utöka. Detta både som stödjande resurser på plats men även att ta över den som en tjänst helt och hållet, på plats eller remote.

Slutsats

All kravställning på ett logghanteringssystem ska utgå från analysfasen och dess syfte och mål. Det kan kännas konstigt att börja med sista steget, men tro oss. Det är från analysfasen och dess behov som hela logghanteringssystemet ska kravställas. Likaså vilken information som måste skapas för att uppnå dess syfte och mål.