Anslutning av SIEM-system för logganalys • Secorum
Hur ansluter man ett SIEM-system till nätverket?
SIEM, kravspecifikation, logghantering, loggar, insamling, analys, logganalys, anslutning
21802
page-template,page-template-full_width,page-template-full_width-php,page,page-id-21802,page-child,parent-pageid-21752,ajax_updown_fade,page_not_loaded,boxed,select-child-theme-ver-1.0.0,select-theme-ver-3.7,,wpb-js-composer js-comp-ver-5.0.1,vc_responsive

Anslutning av SIEM-system

Secorum jobbar i huvudsak med logghanteringssystem som kravställts utifrån följande principer:

  • Det ska gå att fatta långtgående interna och externa beslut baserat på loggdata
  • Logginsamling ska ske med bevarad riktighet och sekretess
  • Logginsamling ska ske utan förlust av loggdata
  • Logginsamling ska ske utan att det skapas dubbletter av loggdata
  • Analysen ska kunna ske på den samlade mängden information (korrelering)

Även om ovan krav dominerar så kan vissa delar av logginsamlingskedjan utgöras av mer osäkra sätt som t.ex. syslog. Loggdata som överförs via osäkra protokoll uppfyller inte ovan krav. Detta är inget Secorum eller någon annan leverantör kan göra något åt. Vad vi kan göra är att nyttja open source lösningar för att avhjälpa eller stödja delar av en osäker logginsamling på andra sätt. Funktioner som ligger utanför den upphandlade produkten. Detta avgörs från fall till fall, men är ett läge som till stora delar kan undvikas om kravarbetet under förstudie eller inför upphandlingen gjorts på rätt sätt.

Infrastrukturkomponenter är som regel begränsade till att skicka loggdata över syslog. I dessa fall har Secorum stor erfarenhet av att designa syslogkedjor som kompenserar bristen i förbindelselösa protokoll. Genom en kombination av lastbalanserare och dubbla funktioner samt fail over funktioner går det att bygga tillräckligt stabila lösningar för att motverka bristerna hos vissa överföringsprotokoll.

 

Beroende på produktval tar anslutningen av nya loggkällor mer eller mindre tid. Då Secorum främst jobbar inom högsäkerhetsorganisationer ligger erfarenheten främst hos de mer kvalitativa och därmed mer komplicerade anslutningarna. Men även här finns det idag variationer som möjliggör en användning av komponenter från olika systemlösningar samt att analysera loggdata med inte bara ett logghanteringssystem utan flera.

 

Anslutningsjobbet tar tid om det utförs kvalitativt, detta oavsett produkt. Om analysen i första hand är till för att hålla människor ansvariga krävs som regel mer arbete under anslutningsfasen. Det finns många exempel på anslutningsuppdrag som på sikt omöjliggjort en effektiv analys eftersom man kategoriserat informationen på fel sätt eller mappat den mot olika delar av produktens schema. På detta sätt omöjliggörs en effektiv analys. Den bästa produkten på marknaden förlorar sin förmåga om den förses med bristfällig information eller om kvalitativ information inte går att identifiera i analysfasen.

 

Underskatta inte vikten av kvalité i anslutningsfasen. Konsulter eller personal som inte förstår vikten av kvalité i denna fas har givit loggbranschen ett delvis dåligt rykte.