Log-management/SIEM

Har i haft indbrud - uden at vide det?

Langt de fleste organisationer har ikke styr på det helt basale ift. opsamling af relevante log-filer. Det betyder, at de ikke har mulighed for at kigge tilbage ved incidents, men det betyder også, at de ofte overser helt åbenlyse hændelser og sikkerhedsbrud, som ellers hurtigt kunne være håndteret. 

Hvad er log-management/SIEM?

Generering

Møtrikker

Transmittering

Rotation

Lagring

FedHarddisk

Analysering

Lup

Bortskaffelse

Skrald

Langt de fleste virksomheder har svært (hvis ikke umuligt) ved at svare på, om de inden for det seneste år har mistet data eller på anden måde været udsat for sikkerhedsmæssige hændelser. Firewalls, anti-virus og backup-procedurer er fine foranstaltninger, men erfaring viser, at det ikke er nok – og hvis (når) uvedkommende bryder igennem det første værn, har man få muligheder for at opdage og reagere på det. 

Hændelserne kan skyldes udefrakommende, som træder ind på virksomhedens område, såvel som uhensigtmæssig adfærd fra virksomhedens egne medarbejdere eller leverandører, som bevidst eller ubevidst sætter virksomheden i en risikabel situation. 

Er du helt sikker på, at I har styr på jeres log-filer?

Typiske fejlopfattelser

“Vores servere logger alt, så vi kan bare gå tilbage og se logs igennem, hvis det er nødvendigt.”

“Vi har aldrig haft problemer, så det er ikke nødvendigt med mere indblik.”

Har du et overblik over jeres IT-sikkerhed i dag?

Typiske fejl

De fire
GuldHanen
MangeAlarmer

Mange implementerede tiltag og systemer ift. IT-sikkerhed, men ikke et godt overblik

Ikke det optimale udbytte af jeres investeringer i IT-sikkerhed

Drukner i falske-alarmer og derfor bliver de fleste alarmer ignoreret

Ved du reelt, hvad der foregår i jeres systemer? Opdager du, hvis noget går galt (uden systemet går ned)?

Typisk misforståelse:

"Hvis systemerne kører, så er alt sikkert fint."

Log-management eller SIEM?

"Man skal starte med log-management, før man kan gå videre til SIEM."

Log-management

Man skal altid starte med at sikre, at man får indsamlet de rigtig logs på den rigtige måde. Dette er kernen i at arbejde med logfiler. 

Log-management er at få indsamlet de relevante logs til en central placering, hvor de gemmes på den rigtige måde. Den rigtige indsamling og behandling af logs er en forudsætning til fremadrettet at kunne arbejde mere aktivt med log-management – og i sidste ende SIEM.

Data er kun noget værd når det er struktureret og ordnet!

Kunne du tænke dig at få 3 konkrete tips til hvordan I kommer igang med Log-management? Så skriv dig op til vores e-bog om Log-management, og så får du den så snart den er klar. 

  • Indstillinger af security logning
  • Brug af nxlog
  • ELK-stack

Skriv dig op her

SIEM - Security Incident Event Management

Når der er styr på data, så gælder det om at få indsigt og værdi ud af denne data. SIEM er et udtryk for den proces, hvor man aktivt analyserer på logs fra de forskellige systemer. Når man først har styr på den grundlæggende opsamling af logs, så kan man arbejde aktivt med at analysere på data og identificere hændelser og sikkerhedsbrud. 

SIEM har typisk været en ressourcetung proces at arbejde med, hvor både tid og økonomi (især til dyre SIEM-systemer og lange implementeringsprojekter) har gjort SIEM utilgængeligt for langt de fleste organisationer. Derudover har SIEM stillet store krav til, at organisationerne selv har kunne vedligeholde og drifte systemer efter implementering. Dette kræver ressourcer og kompetencer. 

CyberPilot log-management og SIEM er for ALLE.

Vi har gjort det mere simpelt og nemt end nogenside før at komme igang med log-management og SIEM. I løbet af kort tid kan du være i gang med log-management og SIEM og vi hjælper dig hele vejen (og bare rolig – vejen er helt kort).

Hvilke typer logs skal man opsamle?

Det er naturligvis forskelligt fra organisation til organisation, men for langt de fleste er det relevant at kigge på log-opsamling fra:

  • Windows-servere
  • Windows-klienter
  • Linux-servere
  • Azure
  • Office365
  • Diverse security-produkter
  • Applikationslogs (Hvis der generes logs)
  • Netværksudstyr

Hvem er det relevant for?

SIEM/Log-management er relevant for alle de organisationer, der ønsker at forebygge, detektere og reagere på sikkerhedshændelser.

Derudover er det relevant for organisationer, som er pålagt at arbejde med logning i forhold til gældende sikkerhedsstandarder eller lovgivning, såsom Persondataforordningen.

CyberPilot SIEM tilbydes som komplet SIEM-løsning eller som add-on til eksisterende SIEM-løsninger. Vi tilpasser os til jeres setup.

CyberPilot SIEM er en service, ikke et produkt.

I undgår derved også at skulle bruge interne ressourcer på den drift, løbende analyse og overvågning. Den del klarer vores specialister. 

Så hvad er CyberPilot SIEM/Log-management?

CyberPilot log-overvågning har til formål at identificere såfremt noget unormalt sker på de enheder, som er omfattet af overvågningen. Det kan være virus, malware, forkerte opsætninger, tegn på hacking osv. Dette gøres ved at indsamle og overvåge relevante sikkerhedslogs for derigennem at kunne alarmere på hændelser. 

Dette gøres bl.a. for at beskytte persondata i henhold til Persondataforordningen fra EU. Logningen er en hjælp til hurtigt at opdage uretmæssig ekstern adgang til persondata. Opdages uretmæssig adgang hurtig kan foranstaltninger til at forhindre offentliggørelse, videregivelse eller anden misbrug også igangsættes hurtigt og dermed begrænse skaden. (Persondataforordningen fra EU, artikel 32)

Det er udelukkende logs med relevant information omkring sikkerhed på enheden, som behandles. 

Eksempler på logs, som omhandler brugerens adfærd

BrugerLogs
IP
InstalleringAfProgrammer

Login: Brugernavnet registreres og indsamles. Formålet er at give alarm, hvis et ukendt brugernavn logge rpå.

Ind og udgåender forbindelser: IP-adresser indsamles og sammenholdes imod kendte sider. Dette giver mulighed for alarm. Man kan ikke se direkte, hvilke hjemmesider, der besøges. 

Installation af applikationer/programmer: Programnavn og oplysnigner registreres og overvåges. Formålet er at opdage skadelige programmer.

Processen for en alarm

1
Klik

En aktivitet gennemføres i et system eller på en enhed, som f.eks.:

  • En bruger logger ind på et system
  • Et program startes op
  • En fil tilgås
2
Lås

Sikkerhedslog genereres og fremsendes til overvågningssystemet.

3
Alarm2

Hvis loggen indikerer mistænkelig aktivitet, bliver en alarm udløst – det kunne f.eks. være: 

  • Adskillige fejlede login-forsøg (Tegn på et brute-force angreb)
  • Ændring i brugerrettigheder
  • Forbindelse til mistænkelige IP-adresser
4
AnalyseLup

CyberPilot overvåger alarmerne og analyserer hvorvidt der er behov for at tage yderligere action. 

CyberPilot SIEM giver således mulighed for at identificere og håndtere IT-sikkerhedshændelser hurtigt og effektivt og dermed øge IT-sikkerheden.

Det er vigtigt at understrege at logningen IKKE giver adgang til at se aktiviteter som:

  • Hvad der skrives på PC'en
  • Hvilke filer man gemmer
  • Hvem man f.eks. skyper med
  • Hvad man siger
  • Billeder man har liggende
  • Hvilke koder man bruger
  • Hvilke youtube-videoer man ser
  • Etc.

Logningen registrerer således ikke følsomme oplysninger og oplysninger af privat karakter. 

Hvad er inkluderet i CyberPilots SIEM-løsning?

Implementering

Implementering

CyberPilot SIEM indsamler de relevante sikkerhedslogs fra netværksenheder, operativsystemer, systemer og applikationer. Derudover indsamler vi relevante alarmer og meddelelser fra jeres andre sikkerhedsløsninger (antivirus, firewall, endpoint-protection, etc.). Derved skaber vi et værdifuldt overblik!

Løbende analyse

Med udgangspunkt i jeres organisations behov laver vi den løbende analyse. Vores specialister har indgående kendskab og holder sig konstant opdateret på de aktuelle trusler. 

LøbendeAnalyse
LøbendeOvervågning

Løbende overvågning og alarmer

Modtag øjeblikkeligt alarmer ved sikkerhedshændelser. Dette giver mulighed for at reagere hurtigt og effektivt og derved minimere risikoen og omkostningen forbundet med et sikkerhedsbrud.

Adgang til historisk logs

Logs opsamles og opbevares centralt. Dermed er det muligt at fremskaffe historik og beviser, hvis behovet skulle opstå. 

HistoriskeLogs

Hvordan er jeres tekniske setup?

Systemet kan enten opsættes i jeres infrastruktur, eller vi kan hoste det ligesom vi gør for adskillige andre kunder. Det er helt op til jer!

Vi har erfaring med en lang række forskellige SIEM-teknologier, såsom Q-radar, Logpoint, Nagios og Logz.io m.fl. Vi kan således implementere netop det system, som skaber mest værdi hos jer. 

 

Hold dig opdateret med tips, værktøjer og nyheder fra CyberPilot