Logi halduse teenus – mis see on ja milleks seda vaja on?

ronnie 18. jaan. 2022

Väikeste ja keskmise suurusega ettevõtete jaoks on logide halduse süsteemi loomine sageli keeruline väljakutse. Näeme seda Cybers’is igapäevaselt. SIEM’ide ehk Security Information and Event Management lahenduste turul on palju pakkujaid. Enamik neist on üsna kallid ning valiku tegemist ja rakendamist varjutavad sageli hirmulood ebaõnnestunud projektidest.  

Millise lahenduse peaks valima ja milliseid logisid üldse oleks vaja? 

Vastus sellele küsimusele sõltub paljuski äri või asutuse protsessidest ja süsteemidest. Üht universaalselt ja head lahendust ei ole, kuid sellegipoolest tuleks kõigil selle teemaga tegeleda ning lähtuda samadest põhimõtetest.  Mitte kõik ettevõtted ei vaja kohe alguses täisfunktsionaalsusega SIEM lahendust. Enamik väikeseid ja keskmise suurusega ettevõtteid vajavad pisut suunamist ja lihtsat strateegiat, et kõik kasutusel olevad rakendused oleksid kaetud ja turvalogid hakkaksid pakkuma kohest väärtust. On väga tavapärane, et logide ja logimise vajadused muutuvad. Pigem tuleks tähelepanu pöörata sellele, et logide vundament saaks korralik.  

Kuidas logimise halduse projektiga algust teha? 

Soovitame alustuseks kaardistada: 

Kust logid tulevad? Millised allikad tuleb logimise strateegiasse lisada?

Kaardistage rakendused, serverid ja seadmed. 

Kus logisid hoida?

Kas pilves või oma serveris? 

Kui kaua on vajalik logisid hoida?

Kas äri poolt on nõudeid, mis aitavad ajavahemiku paika panna? 

Kuidas logid ettevõttele väärtust loovad?

Millised oleks esimesed kasutusjuhud ja kes on esimesed logide kasutajad organisatsioonis? 

Milliseid raporteid nad vajavad? Milliseid märguanded tuleks neile seadistada? 

Kõik need küsimused ei ole midagi ajatut. Vastused neile muutuvad ajas. Küsimusi tekib juurde vastavalt sellele, kuidas organisatsioonis teadlikkus tõuseb. Lihtsalt hakake pihta! 

Allikad

Kõigepealt tuleks kaardistada kõige olulisemad allikad. Nendeks võivad olla rakendused (nii pilves kui oma serveritel jooksvad), serverid, teenused, seadmed (N: tulemüürid) ja tööjaamad. Edasi tuleks need allikad grupeerida vastavalt nimetatud tüüpidele, et mõista algse projekti skoopi, võimekust ja keerukust. Keerukuse vähendamiseks on vaja teha neist valik ehk allikad prioriseerida. Mille alusel seda teha? Selle jaoks on vaja kaardistada ka logidest saadava informatsiooni kasutajad.  Seetõttu on selles kaardistamise protsessis vajalikud nii tehnilised kui ärianalüütilised kompetentsid. 

On tüüpiline, et selles etapis tuleb vastus leida järgmistele küsimustele:  

  • Kuidas me vajalikud logid automaatselt ühte kohta saame? 
  • Kas rakenduse poolt loodud logi on piisav või on vaja midagi muuta. Millised on logi seadistused? 
  • Kas on vajalik kirjutada parser?

Logide koondamine 

Kui need küsimused saavad vastatud, siis edasi võiks võtta kasutusele vabavaralise Elastic Stack’i, mille abil saab logid nii Windowsi kui Linuxi serveritest, tööjaamadest, syslogidest jm allikatest kokku tuua. 

Elastic indekseerib ja salvestab logid. Tänu kasutajasõbralikule veebiliidesele on ülevaadete, otsingute, päringute ja aruannete loomine lihtne. Elastic Stack’i abil on võimalik tagada ligipääs logidele ka mitte-IT töötajatele. Loomulikult vajab see eelnevat koolitust, kuid võib olla tulevikus väga kasulik ja IT töötajate aega kokku hoida.  

Kui vajate logihalduse juurutamisel abi, siis võtke meiega ühendust! Saame kokku panna teenused, mida teil täpselt on vaja alates konsultatsioonist ja ärianalüütiku teenusest kuni parserite kirjutamise ja ELK juurutamiseni. 

Aitame kirjeldada peamised kasutusjuhud ja pakume välja sobivaima tehnoloogia ning plaani tulevasteks arendusteks. 

Viimased postitused

20. apr. 2022

Rita Käit-Vares: kiirustamine ja hajutatud tähelepanu on vesi küberpättide rahaveskile

Küberründe kahjusid ei saa panna alati numbrite keelde, kuid küberkurjategijad on tajunud ära piiri, kui palju on ettevõtted nõus maksma lunavararünnaku lõpetamise eest – see on keskmiselt 5% ettevõtte aastasest müügitulust. Räägime küberohtudest ja nende ennetamise võimalustest. Intervjuu Security Software OÜ partneri ja juhatuse liikme Rita Käit-Varesega.

Loe edasi
19. jaan. 2022

Mida on tegelikult turvaseire ehk SOC-i üles ehitamiseks vaja?

Ennekõike on SOC keskuse mõte see, et teil oleks turvalisusega seotud intsidentidest reaalajas koondatud ülevaade ja neile oleks võimalik mõne minuti jooksul reageerida. Panime kirja tähelepanekud, mida on mõistlik teada SOC-i üles ehitamisest.

Loe edasi
19. jaan. 2022

Kuidas aitab majasisene turvaseire (SOC) leevendada küberohte?

Küberturvalisus on küll teema, millest on hakatud rohkem rääkima, kuid jätkuvalt suhtutakse sellesse pigem reaktiivselt ja mitte proaktiivselt. Ehk siis oma ettevõtte kontekstis hakatakse sellele tõsisemalt mõtlema alles siis, kui midagi on juba juhtunud. 

Loe edasi

Kas teil on probleeme küberkurjategijatega? Kas arvate, et olete ohus?

Pakume laiahaardelist valikut küberturvalisuse teenuseid, tooteid ja lahendusi. Vajaliku lahenduse paneme kokku vastavalt iga organisatsiooni vajadustele.