Logid ja logimine 2. osa – SIEM

CYBERS 15. märts 2019

Tänapäeval salvestavad logisid enamik võrgus asuvaid seadmeid. Logid on sageli salvestatud seadmesse ja neid saab seadmes ka vaadata. Selleks et kogu võrgus toimuvast ülevaade saada, tuleb analüüsida paljude erinevate süsteemide logisid. Vähegi suurema võrgu puhul on see keeruline ja mõistliku ajakuluga peaaegu võimatu.

Siin tuleb appi spetsiaalne turbeinfo ja -sündmuste halduse lahendus SIEM (ingl security information and event management), mis võimaldab koguda eri allikates loodud logid ühte süsteemi, et saada ülevaadet ning analüüsida terviksüsteemis toimuvaid turvasündmusi ehk hallata logisid keskselt ja mugavalt. SIEM-il on peamiselt kaks eesmärki: pakkuda organisatsioonile keskset ja turvalist logimist ja raporteerimist ning aidata tuvastada, analüüsida ja pehmendada turvaintsidente.

SIEM kogub eri süsteemidest eri formaadis logisid ja salvestab need:

  • originaalkujul (ingl raw log storage) mitteaktiivseks töötlemiseks, et võimaldada toimunut tagantjärele tõestada;
  • normaliseeritud kujul aktiivseks töötlemiseks, et võimaldada logiandmeid analüüsida, näiteks neid omavahel seostada ja võrrelda.

Osal SIEM-i lahendustest on analüüsimoodul jagatud kaheks: reaalajalähedane analüüs ning ajalooliste andmete analüüs. Sellisel juhul töödeldakse reaalajalähedase analüüsi moodulis normaliseeritud andmeid, mis suurendab süsteemi jõudlust ja võimaldab probleemide korral õigel ajal süsteemihaldureid teavitada.

SIEM-il on mitmeid ärilisi eeliseid

  • Suurem väärtus turbetehnoloogia investeeringutelt – SIEM võimaldab süsteemi turvalogide tõhusat kasutust, mis vabastab infoturbeanalüütikute tööaega sisuliseks tööks ja aitab tõsta esile infoturbesüsteemide tegelikku kasu.
  • Regulatsioonidele mittevastavuse riski vähenemine – SIEM-i kaudu on võimalik saada automaatselt raporteid erinevatele regulatsioonidele vastamise kohta (nt PCI DSS).
  • Suurem organisatsiooniline tugi infoturbele – SIEM-il on palju huvitatud pooli, kes peavad koos töötama, et hinnata ja töödelda SIEM-i loodud hoiatusi ja luua vajalikke vastavusaruandeid.
  • Varajane turbeintsidentide tuvastamine – korralikult seadistatud reaalajalähedase analüüsi mooduliga SIEM suudab varakult tuvastada ja anda hoiatusi võrgus toimuvate anomaaliate kohta, mis vajavad infoturbega tegelevate inimeste tähelepanu.
  • SIEM võimaldab anda turbeanalüütikule ligipääsu logiandmetele, andmata ligipääsu süsteemidesse.

Tänapäevastel SIEM-i lahendustel on üldjuhul järgmised funktsioonid

  • Andmete kogumine ja koondamine – andmete kogumine erinevatest logiallikatest, kasutades eri logiallikatest sõltuvaid meetodeid. Andmete normaliseerimine – sama tüüpi andmete samasse formaati viimine ja ühtsesse andmebaasi salvestamine.
  • Sündmuste korrelatsioon – funktsioon, mis seob erinevad sündmused hoiatuseks, näiteks mingis ajaraamis mitmes süsteemis toimunud sama tüüpi tegevused. Selleks on SIEM-il tavaliselt kaasas reeglite kogumikud, mida tootja regulaarselt uuendab.
  • Teavitamine (ingl alerting) – funktsioon, mis võimaldab SIEM-il hoiatada haldajaid, kui sündmuste korrelatsioon tuvastab anomaaliaid SIEM-i sisse ehitatud või kasutaja seatud reeglibaasi põhjal. Aruandlus – SIEM-is on sageli hulk sisse ehitatud aruandeid (näiteks PCI DSS-i vastavusaruanded), samuti on kasutajal võimalik luua ja disainida endale sobivaid aruandeid.
  • Kohtuekspertiis (ingl forensics) – SIEM-i kohtuekspertiisi funktsioon võimaldab otsida originaalsetest logiandmetest märke pahatahtlikest tegevustest või anomaaliatest.
  • Keskne halduskonsool – põhiline kasutajaliides, mille kaudu jälgida sündmusi reaalajas ja teha logiandmete analüüsi ning luua raporteid.

Artikkel on täisulatuses avaldatud Äripäeva Teabekeskuse IT-juhtimise teabevaras https://teabevara.ee/et/it-juhtimine
Artikkel annab ülevaate SIEM-ist:

  • SIEM-i juurutamine ja vajalikud tegevused juurutamisel;
  • peamised riskid SIEM-i kasutuselevõtul ja võimalikud maandusmeetmed.

Jaga

Märksõnad

Märksõnad

Jaga

Viimased postitused

22. mai 2023

Küpsisepuru

Küberhuviliste podcast Kübercast’i saatejuhid Ronnie Jaanhold ja Siim Pajusaar võtavad seekord luubi alla küpsised. Tänane saade on inspireeritud raamatust “Teekond allikale”, kus räägitakse armulauast. Paljud teavad, et armulauas jagatakse veini ja küpsiseid. Internetis ei jagata veini, küll aga ohtralt küpsiseid. Saates kergitatakse saladuskate interneti küpsistelt ja räägitakse küpsisepurust.

Loe edasi
8. mai 2023

Outlook

Seekordses KüberCast episoodis arutlevad saatejuhid Ronnie Jaanhold ja Siim Pajusaar Outlook teemadel ning seda eelkõige e-maili perspektiivist lähtuvalt.

Loe edasi
28. apr. 2023

CYBERS & NATO küberkaitseõppus LOCKED SHIELDS

Locked Shields on maailma suurim omataoline küberkaitseõppus, mida korraldab NATO küberkaitsekoostöö keskus. Õppus toimus 18.-21. aprillil Tallinnas ja sellel oli ligi 3000 osalejat. Osalejateks on NATO liikmesriigid ja NATO sõbralikud riigid (möödunud aastal Gruusia, sel aastal Ukraina).

Loe edasi

Kas teil on probleeme küberkurjategijatega? Kas arvate, et olete ohus?

Pakume laiahaardelist valikut küberturvalisuse teenuseid, tooteid ja lahendusi. Vajaliku lahenduse paneme kokku vastavalt iga organisatsiooni vajadustele.