Egy jól beállított naplózó infrastruktúra aranyat ér, hiszen számos olyan trendi funkciót is kiválthat, amelyeket egyébként jelentős beruházással tudnánk csak megoldani.
7. Naplózás a gyakorlatban
Az előkészületek:
Igényfelmérés
Scope meghatározás
Naplózási koncepció elkészítése
Előszűrés
Tesztelés/Pilot (Proof of Concept)
Implementáció
Kiterjesztés
Üzemeltetés
7 7
8. Naplózás a gyakorlatban
Naplómenedzsment vagy SIEM?
Funkcionalitás Log Menedzsment Security Information and
(LM) Event Management
(SIEM)
Log gyűjtés Minden napló gyűjtése Biztonsággal kapcsolatos logok
(+ kiegészítő adatok, hálózati
forgalom, riasztások, stb. )
gyűjtése
Log elő feldolgozás Indexelés, felolvasás vagy Felolvasás, normalizáció,
egyszerű tárolás osztályozás,
On-line log tárolás Nyers log állományok Nyers logok és feldolgozott
tárolása adatok tárolása
Riportolási Széleskörű riportolási Biztonsági fókuszú riportok
funkciók funkciók
Elemzés Teljes szövegelemzés, Korreláció, fenyegetettségi
cimkézés besorolás, események
priorizálása
Riasztások Egyszerű riasztások a log Komplex, biztonsági fókuszú
események alapján riasztások
Egyéb funkciók Jól skálázható gyűjtés és Incidens menedzsment,
tárolás elemzési munkafolyamatok,
kontextus elemzés stb.
8 8
13. Naplózás a gyakorlatban
7th SANS Log Management Survey 2011 –
Konklúziók
Folyamatosan szélesedő naplózási terület
(Ipari automatizálási rendszerek, SCADA,
Mobil, Cloud)
A naplózás jelentősége megnőtt, a kiszolgáló
infrastruktúra kritikussá vált
Több, de pontosabb napló-információ
szükséges
Még pontosabb elemző-képességekre van
igény
13 13
14. Naplózás a gyakorlatban
TOP 7 Riport – Nem(csak) menedzsereknek
1. Authentikációs és Authorizációs Riportok
2. Változások riportjai
3. Hálózati forgalmi riportok
4. Erőforrások hozzáféréseinek riportjai
5. Malware riportok
6. Figyelmeztetések és rendszerhibák
7. Analitikus riportok – NBS (Never Before Seen)
14 14