Installation av SIEM-system • Secorum
Vad ska man tänka på när man installerar en SIEM-produkt?
SIEM, SIM, logghantering, loggar, logganalys, analys, logginsamling, logg, spårbarhet, SOC, Security Operations Center, installation
21805
page-template,page-template-full_width,page-template-full_width-php,page,page-id-21805,page-child,parent-pageid-21752,ajax_updown_fade,page_not_loaded,boxed,select-child-theme-ver-1.0.0,select-theme-ver-3.7,,wpb-js-composer js-comp-ver-5.0.1,vc_responsive

Installation av SIEM-system

Installationsförfarandet påbörjas efter val och upphandling av ett logghanteringssystem. I det här läget är det redan från kravhanteringstiden känt vilka tillgänglighetskrav det är som gäller. Det är dock i detta läge när produkten är känd som dess slutgiltiga design och arkitektur kan läggas. Secorum har stor erfarenhet av att skapa olika designlösningar utifrån olika krav. Denna del av arbetet är oerhört viktigt då det kommer att påverka både funktion och kvalité för resten av systemets livslängd.

 

Ett logghanteringssystem inkluderar enligt Secorums definition följande stadier:

  • Generering (loggpostens födelse)
  • Insamling
  • Bearbetning
  • Analys
  • Lagring
  • Gallring (loggpostens död)

Olika logghanteringssystem löser dessa steg på olika sätt. Rör det sig om ett system som Secorum saknar erfarenhet av överlåter vi till andra aktörer utföra denna fas. Utgörs systemet av något vi kan och har erfarenhet av åtar vi oss gärna denna fas. Det är nu när byggande påbörjas som allt tidigare arbetet börjar realiseras.

Installationsarbetets komplexitet varierar mellan olika produkter. Likaså dess verkliga förmåga att hantera loggpostens olika stadier. Då det inte finns någon produkt på marknaden idag som är bra på allt kravställs och väljs produkten utifrån sina huvudsakliga syften. Den stora skiljelinjen här är om loggarna i första hand är till för felsökning (driftrelaterade), cyber hot eller hanteringen av informationen av de egna användarna. Många gånger är det först nu kunden inser att denne köpt ett helt felaktigt IT-system då det brustit i kravarbetet.

 

Våra erfarenheter av olika logghanteringssystem kan kort sammanfattas på följande sätt:

  • Ett logghanteringssystem som möjliggör en snabb och enkel installation innebär som regel att loggdata hanteras ostrukturerat vilket ger en mer komplicerad analys.
  • Ett logghanteringssystem som innebär en mer krävande installation innebär som regel att data strukturerats vilket ger en enklare analys

Installationsarbetet av mottagnings – och arkivfunktioner går fort i bägge fallen. Det som varierar är tiden och kvalitén av insamlade och hanterade loggdata. Vi vågar med vår erfarenhet påstå att en enklare installation ger en lägre tilltro till analysens resultat än den som är mer krävande då den som regel är mer fokuserad på bevarad riktighet och sekretess.

 

Det finns för- och nackdelar med bägge, men dessa ska vara kända och valda redan när kravspecifikationen skrivs.