Hvad er logføring?

Logføring er registrering af hændelser og aktiviteter, der sker på en enhed eller i et program. Enhver hændelse – brugerlogin, systemfejl, programnedbrud, tilladelsesændring og meget mere – registreres i et system eller program i form af logfiler. Logføring registrerer og administrerer systematisk disse logfiler, så de kan bruges til fejlfinding samt drifts- og sikkerhedsformål.

I de tidlige faser af cyberangreb fokuserer trusselsaktører normalt på at få solidt fodfæste i netværket. Denne indledende fase involverer ofte udnyttelse af sikkerhedsrisici og brug af angrebsvektorer til at få uautoriseret adgang. Når de er trængt ind, kan angriberne forsøge at gå videre lateralt, eskalere privilegier eller etablere et brohoved.

Men hvordan kan sikkerhedsadministratorer vide, at der foregår noget mistænkeligt i netværket? Svaret er logfiler. Sikkerhedsadministratorer overvåger logfiler fra nogle eller alle logkilder i netværket. Her er nogle af de kritiske ressourcer, som logdata indsamles fra, så de kan analyseres:

Firewalls

Firewall-logfiler indeholder vigtige oplysninger, som spiller en nøglerolle i at opretholde et netværks sikkerhed. Firewall-logfilerne giver indsigt i netværkstrafikken, f.eks. afviste og tilladte forbindelser, konfigurationsændringer og ‑fejl, tilføjelse og sletning af brugere og ændringer af deres rettighedsniveau.

Ved at analysere firewall-logfiler kan administratorer opdage skadelig aktivitet i netværket, optimere firewallregler og styrke netværkets sikkerhedsperiferi.

Proxyer og andre webfiltre

Logfiler fra proxyer og andre webfiltre består af logdata fra brugere og programmer, der bruger dit netværk. Ud over anmodninger om hjemmesider fra brugere registrerer disse logfiler også anmodninger om programmer og tjenester. Proxylogfiler kan udtrække oplysninger som destinations-IP, destinationsport, brugeragent, enhedshandling og meget mere. Ved at indsamle disse oplysninger får man indsigt i, hvad der sker i netværket.

Organisationer kan finde større problemer i deres netværk ved at overvåge de forskellige brugeragentstrenge og undersøge eventuelle abnormiteter.

Windows-hændelser

Windows' hændelseslog er en komplet registrering af alt, hvad der sker i et Windows-operativsystem. De indsamlede logoplysninger er blandt andet Windows-programlogfiler, sikkerheds- og systemlogfiler, DNS-serverlogfiler, katalogserverlogfiler og filreplikeringstjenestens logfiler.

Indsamling af Windows' hændelseslogfiler sikrer, at uregelmæssigheder eller mærkelig adfærd straks markeres, og at der udsendes underretninger om det. Det forbedrer sikkerheden på servere og arbejdsstationer samt diagnosticeringen af problemer med defekte hardwarekomponenter.

For eksempel er pass-the-hash et populært angreb blandt hackere, fordi det bruges til at få adgang til en konto uden adgangskode. Du skal kigge efter "NTLM-login type 3"-hændelses-ID'er – dvs. 4624 (vellykket) og 4625 (mislykket) – for dette angreb.

Et andet fællestræk ved hackere er, at de forsøger at skjule deres tilstedeværelse. Hvis du holder øje med hændelses-ID 104 (hændelseslog ryddet) og 1102 (overvågningslog ryddet), kan det hjælpe dig med at finde deres tilstedeværelse i dit netværk.

Programmer

En programlog er en fil med oplysninger om alle de hændelser, der er sket i et program. Nogle af de almindelige komponenter i programlogfiler er kontekstoplysninger, tidsstempler og logniveauer.

Du kan indsamle logfiler fra webserverprogrammer som IIS og Apache, databaser som MS SQL og Oracle, DHCP-baserede programmer og andre.

Programlogfiler hjælper dig med at identificere og rette sikkerheds- og performanceproblemer med programmer. De hjælper dig også med at opdage uautoriseret filadgang og forsøg på datamanipulation fra brugernes side.

Et logindsamlingsværktøj kan hjælpe dig med at indsamle forskellige slags logfiler fra flere kilder og samle dem på en nem måde. Brug af et omfattende logindsamlingsværktøj som ManageEngines EventLog Analyzer kan også hjælpe dig med at organisere og gennemgå dine logfiler for at få værdifuld indsigt i din organisations sikkerhedsniveau. Se løsningens muligheder for logindsamling her.

Metoder til indsamling af logfiler

Nu hvor vi har nævnt de forskellige kilder, som logfiler kan indsamles fra, er det vigtigt at bemærke, at logfiler også kan indsamles ved hjælp af forskellige metoder. To af de mest almindelige mekanismer til indsamling af logdata er agentfri og agentbaseret logindsamling. Nogle af de andre almindelige logindsamlingsteknikker er API-baseret logindsamling, WMI-baseret logindsamling og SNMP-traps.

Agentfri logindsamling

Ved agentfri logindsamling indsamles de logfiler, der genereres på hver enhed, uden en agent. Den enhed eller det program, hvor loggen genereres, sender logdataene direkte til en central server. Overførslen sikres med protokoller som TCP og HTTPS.

API-baseret logindsamling

I denne metode bruges et API til at forespørge om og overføre logdata til en sikker server. Du kan også bruge API'er til at indsamle logfiler og sende dem til et tredjepartsværktøj, der analyserer logdataene.

SNMP-traps

En SNMP-trap oprettes af en SNMP-aktiveret enhed, som er agenten, og sendes til en indsamler. Indsamleren informeres i realtid af SNMP-trappen, når der sker en vigtig hændelse, og indsamler primært hændelser med henblik på administration og overvågning.

Agentbaseret logindsamling

Denne logindsamlingsmekanisme bruger en agent, der befinder sig på enheden. Agenten indsamler logdataene og sender dem til en central server på en sikker måde. Fordelene ved at bruge agentbaseret logindsamling er, at der kan anvendes logindsamlingsfiltre ved hjælp af agenterne for at begrænse forbruget af båndbredde. Agentbaseret logindsamling bruges normalt i netværk inden for en sikker zone, hvor kommunikation er begrænset.

Logføring af WMI-hændelser

Windows Management Instrument-hændelseslogføring (WMI) er en metode, der bruges til at indsamle logfiler fra Windows-miljøet. Event Tracing for Windows (ETW) udføres ved hjælp af WMI-hændelseslogføring. De indsamler oplysninger om hændelser, diagnosticeringsdata, fejl og forskellige andre aktiviteter i dit netværk.

Hvorfor er logføring vigtig?

Etablering af baselines

Ved at analysere logfilerne løbende kan organisationer definere en baseline for normal systemadfærd. Enhver afvigelse fra denne etablerede normale adfærd kan være et tegn på en sikkerhedsanomali.

Hændelsesovervågning

Det hjælper organisationer med at se det samlede billede af, hvad der sker i deres netværk, og forbedre deres driftseffektivitet.

Prompte reaktion på hændelser

Logføring hjælper med at identificere hændelsesmønstre, der kan være tegn på sikkerhedsbrud. Ved detektering kan der genereres advarsler, så der kan gribes ind straks.

Varetagelse af compliance

Lovgivning som PCI DSS, HIPAA og GDPR kræver, at organisationer opbevarer alle netværkslogfiler, for at vise at de overholder standarderne.

Sporing af brugeraktivitet

Logfiler spiller en vigtig rolle i overvågningen af brugernes aktiviteter. Logdata kan bruges til at spore brugeradfærd og opdage insidertrusler proaktivt.

Forensisk analyse

I tilfælde af et sikkerhedsbrud fungerer logfiler som kilde til forensiske undersøgelser. De gør det muligt for sikkerhedsteams at spore tilbage, finde rodårsagen til bruddet og indsamle alle de nødvendige beviser.

Hvordan kan EventLog Analyzer hjælpe?

EventLog Analyzer er ManageEngines omfattende løsning til logadministration. Den er designet til at hjælpe organisationer med effektivt at indsamle, analysere og administrere logdata fra forskellige kilder. Den samler trådene, så de enorme og forskelligartede logdata, der genereres af dit netværk, dine servere og dine programmer, giver mening.

Denne logkorrelation i realtid nøjes ikke med at detektere. Den udløser straks advarsler for at give dig besked om alvorlige hændelser. Disse advarsler fungerer som et proaktivt skjold, der sikrer hurtig reaktion på sikkerhedsbrud eller driftsproblemer.

Desuden har EventLog Analyzer mange andre funktioner end logadministration. EventLog Analyzer kan opgraderes til en komplet SIEM-løsning, som kan give dig et omfattende overblik over dit netværks sikkerhedsniveau.

Hvad så nu?