Logid ja logimine 2. osa – SIEM

CYBERS 15. märts 2019

Tänapäeval salvestavad logisid enamik võrgus asuvaid seadmeid. Logid on sageli salvestatud seadmesse ja neid saab seadmes ka vaadata. Selleks et kogu võrgus toimuvast ülevaade saada, tuleb analüüsida paljude erinevate süsteemide logisid. Vähegi suurema võrgu puhul on see keeruline ja mõistliku ajakuluga peaaegu võimatu.

Siin tuleb appi spetsiaalne turbeinfo ja -sündmuste halduse lahendus SIEM (ingl security information and event management), mis võimaldab koguda eri allikates loodud logid ühte süsteemi, et saada ülevaadet ning analüüsida terviksüsteemis toimuvaid turvasündmusi ehk hallata logisid keskselt ja mugavalt. SIEM-il on peamiselt kaks eesmärki: pakkuda organisatsioonile keskset ja turvalist logimist ja raporteerimist ning aidata tuvastada, analüüsida ja pehmendada turvaintsidente.

SIEM kogub eri süsteemidest eri formaadis logisid ja salvestab need:

  • originaalkujul (ingl raw log storage) mitteaktiivseks töötlemiseks, et võimaldada toimunut tagantjärele tõestada;
  • normaliseeritud kujul aktiivseks töötlemiseks, et võimaldada logiandmeid analüüsida, näiteks neid omavahel seostada ja võrrelda.

Osal SIEM-i lahendustest on analüüsimoodul jagatud kaheks: reaalajalähedane analüüs ning ajalooliste andmete analüüs. Sellisel juhul töödeldakse reaalajalähedase analüüsi moodulis normaliseeritud andmeid, mis suurendab süsteemi jõudlust ja võimaldab probleemide korral õigel ajal süsteemihaldureid teavitada.

SIEM-il on mitmeid ärilisi eeliseid

  • Suurem väärtus turbetehnoloogia investeeringutelt – SIEM võimaldab süsteemi turvalogide tõhusat kasutust, mis vabastab infoturbeanalüütikute tööaega sisuliseks tööks ja aitab tõsta esile infoturbesüsteemide tegelikku kasu.
  • Regulatsioonidele mittevastavuse riski vähenemine – SIEM-i kaudu on võimalik saada automaatselt raporteid erinevatele regulatsioonidele vastamise kohta (nt PCI DSS).
  • Suurem organisatsiooniline tugi infoturbele – SIEM-il on palju huvitatud pooli, kes peavad koos töötama, et hinnata ja töödelda SIEM-i loodud hoiatusi ja luua vajalikke vastavusaruandeid.
  • Varajane turbeintsidentide tuvastamine – korralikult seadistatud reaalajalähedase analüüsi mooduliga SIEM suudab varakult tuvastada ja anda hoiatusi võrgus toimuvate anomaaliate kohta, mis vajavad infoturbega tegelevate inimeste tähelepanu.
  • SIEM võimaldab anda turbeanalüütikule ligipääsu logiandmetele, andmata ligipääsu süsteemidesse.

Tänapäevastel SIEM-i lahendustel on üldjuhul järgmised funktsioonid

  • Andmete kogumine ja koondamine – andmete kogumine erinevatest logiallikatest, kasutades eri logiallikatest sõltuvaid meetodeid. Andmete normaliseerimine – sama tüüpi andmete samasse formaati viimine ja ühtsesse andmebaasi salvestamine.
  • Sündmuste korrelatsioon – funktsioon, mis seob erinevad sündmused hoiatuseks, näiteks mingis ajaraamis mitmes süsteemis toimunud sama tüüpi tegevused. Selleks on SIEM-il tavaliselt kaasas reeglite kogumikud, mida tootja regulaarselt uuendab.
  • Teavitamine (ingl alerting) – funktsioon, mis võimaldab SIEM-il hoiatada haldajaid, kui sündmuste korrelatsioon tuvastab anomaaliaid SIEM-i sisse ehitatud või kasutaja seatud reeglibaasi põhjal. Aruandlus – SIEM-is on sageli hulk sisse ehitatud aruandeid (näiteks PCI DSS-i vastavusaruanded), samuti on kasutajal võimalik luua ja disainida endale sobivaid aruandeid.
  • Kohtuekspertiis (ingl forensics) – SIEM-i kohtuekspertiisi funktsioon võimaldab otsida originaalsetest logiandmetest märke pahatahtlikest tegevustest või anomaaliatest.
  • Keskne halduskonsool – põhiline kasutajaliides, mille kaudu jälgida sündmusi reaalajas ja teha logiandmete analüüsi ning luua raporteid.

Artikkel on täisulatuses avaldatud Äripäeva Teabekeskuse IT-juhtimise teabevaras https://teabevara.ee/et/it-juhtimine
Artikkel annab ülevaate SIEM-ist:

  • SIEM-i juurutamine ja vajalikud tegevused juurutamisel;
  • peamised riskid SIEM-i kasutuselevõtul ja võimalikud maandusmeetmed.

Jaga

Märksõnad

Märksõnad

Jaga

Viimased postitused

21. märts 2024

Teenusedisain ja küberturvalisus käsikäes: Tänapäeva digitaalsete lahenduste alustalad

Tänapäeva kiiresti arenevas digimaailmas on ettevõtete edu võti pakkuda mitte ainult innovaatilisi, vaid ka turvalisi teenuseid. KüberCASTi viimases osas jagas Andres Kostiv, teenusedisaini ja kasutajakogemuse ekspert, olulisi teadmisi ja näpunäiteid, kuidas integreerida küberturvalisus teenusedisaini, et luua kliendikeskseid ja turvalisi digilahendusi.

Loe edasi
4. märts 2024

RÜNNAK, mis läks maksma miljoneid

Mullu tabas lunavararünnak kaht Harjumaal tegutsevat metallitööstusettevõtet, kus töötab kokku ligi 400 inimest. Firmade juhid räägivad avatult, mis ja miks juhtus, et aidata teistel sarnaseid ohte vältida.

Loe edasi
23. veebr. 2024

Andmeturbe ja tehisintellekti ajastu: strateegiline lähenemine digitaalsele transformatsioonile

Süvene andmeturbe ja tehisintellekti keerukesse, et mõista, kuidas need pöördelised tehnoloogiad muudavad äristrateegiaid ja tegevuse tõhusust.

Loe edasi

Kas teil on probleeme küberkurjategijatega? Kas arvate, et olete ohus?

Pakume laiahaardelist valikut küberturvalisuse teenuseid, tooteid ja lahendusi. Vajaliku lahenduse paneme kokku vastavalt iga organisatsiooni vajadustele.