Logfiler er en registrering af alt, hvad der sker i din organisations IT-miljø. De er typisk en række tidsstemplede meddelelser, der giver dig førstehåndsinformation om alle aktiviteterne i dit netværk.

Hver enhed og hvert program i netværket genererer logdata og NetFlow-data, som bruges til at overvåge netværkstrafikken. Logfiler er den vigtigste kilde til input til SIEM-løsninger (Security Information and Event Management). En SIEM-løsning er i bund og grund en platform til logadministration, der også udfører sikkerhedsanalyser og advarsler, begrænsning af insiderrisici, automatisering af reaktioner, trusselsjagt og complianceadministration.

Hvad er logadministration?

Logadministration omfatter indsamling, opbevaring, normalisering og analyse af logfiler for at generere rapporter og advarsler. Logadministration omdanner netværksaktivitetsdataene i logfilerne til meningsfulde, handlingsorienterede sikkerhedsoplysninger. Logadministration er en forudsætning for, at netværks- og sikkerhedsadministratorer kan overvåge og sikre netværket. SIEM-logføring kombinerer hændelseslogfiler med kontekstuelle oplysninger om brugere, aktiver, trusler og sikkerhedsrisici og behandler dem med algoritmer, regler og statistik.

Logadministration er en udfordrende opgave. For at indsamle og behandle logdata i realtid har organisationer brug for en robust mekanisme til logadministration, uanset mængden af logdata og antallet af enheder i netværket. Alt i alt skal logadministration være fleksibel nok til at passe til alle netværksenheder og programmer.

Indsamling af logfiler

Logindsamling er det første skridt i logadministration. En SIEM-løsning indsamler logfiler og hændelser fra en række forskellige systemer i netværket og samler dem på ét sted. Logfiler indsamles typisk fra arbejdsstationer, servere, domænecontrollere, netværksenheder, IDS'er, IPS'er, sikkerhedsløsninger til slutpunkter, databaser, webservere, infrastruktur i offentlige skyer og platforme i skyen.

Hvert netværk har forskellige systemer og miljøer, der genererer forskellige logformater, f.eks. hændelseslogfiler, syslogs og programlogfiler. Løsninger, der indsamler logfiler, skal være fleksible nok til at passe til alle netværksenheder og programmer.

Logfiler kan indsamles via:

  • Agentbaseret logindsamling.
  • Agentfri logindsamling.

Agentbaseret logindsamling

Agentbaseret logindsamling kræver udrulning af en agent på de enheder, der genererer logfiler. Agenten nøjes ikke med at indsamle og filtrere logfilerne men parser dem også og konverterer dem til andre formater, før den sender dem videre til logindsamlingsserveren.

Windows, Unix og de fleste andre systemer opretter logfiler i områder af filsystemet, som kræver rettigheder på højt niveau for at se, rotere eller flytte. Der blev udviklet agenter til at indsamle sikkerhedsrelaterede oplysninger fra det lokale system og derefter konvertere dem til et format, der egner sig til at blive sendt over netværket til en central indsamlingsløsning. Agenterne er designet til at køre i baggrunden med tilstrækkelige rettigheder til at overvåge og administrere logføringsundersystemet og bruger kun de systemressourcer, der er nødvendige for at indsamle, behandle og filtrere loggene og sende dem til SIEM-værten med minimalt overhead.

Agentbaseret logindsamling er praktisk til indsamling af logfiler via WAN og firewalls. Det hjælper også med at indsamle logfiler fra enheder i zoner med begrænset adgang på dit netværk, f.eks. DMZ'er. Brug af en agent til logindsamling reducerer serverens CPU-forbrug, så der kan håndteres flere hændelser pr. sekund. Windows Server, NXLog og OSSEC er nogle af de populære agenter, der bruges til logindsamling.

Agenten kan implementeres på enhver server i netværket eller undernettet og på alle slags operativsystemer. Den installeres som en tjeneste på den pågældende server. Agenten indsamler logfilerne eksternt, forbehandler logfilerne og overfører dem til serveren i realtid og uden afbrydelse.

Sådan fungerer en agent:

  • Når en agent er installeret på en enhed, får den adgang til enhedens interne aktiviteter og indhenter logdata fra den.
  • Når logdataene er indsamlet, forbehandler agenten dem og udtrækker felter. Derefter zipper den logdataene og sender dem til SIEM-serveren på en sikker måde.
  • Serveren indekserer derefter logfilerne og går videre.

Fordele ved agentbaseret logindsamling:

  • Logtransmission er sikker og pålidelig, da agenter kan kommunikere med den centraliserede logserver via TLS og SSL.
  • Logdata sendes normalt i komprimerede batches og lagres i en buffer, så ingen hændelser går tabt under overførslen.
  • Logfiler behandles og sendes til SIEM i realtid, hurtigt og effektivt.
  • Logfiltrering er meget bedre i agentbaseret logindsamling.
  • Hjælper med at opfylde de forskellige lovkrav.
  • Agenter kan indsamle logfiler fra forskellige platforme som Windows, Linux og andre systemer og logføre dem i et brugbart format.
  • Ved hjælp af logfiltre fjernes unødvendige logdata, så de aggregerede logdata er kompakte. Derfor bruger agenter mindre båndbredde og færre ressourcer.

Agentfri logindsamling

I SIEM-løsninger er agentfri logindsamling den fremherskende metode til at indsamle logfiler. I dynamiske miljøer i skyen er det vigtigt at bruge agentfri overvågning for at reducere omkostningerne, få synlighed og gøre det hurtigere at udrulle.

Der er netværksenheder som routere, printere, switche og firewalls, hvor installation af tredjepartssoftware ikke understøttes. I stærkt regulerede systemer er det ikke tilladt at installere ekstra software. I disse tilfælde kan en agentfri logindsamlingsmetode implementeres i stedet, så enhederne kan sende logdata til en ekstern dataindsamler. En af de faktorer, der tvinger os til at bruge agenter til logindsamling, er, at der ikke er en etableret netværksforbindelse til rådighed.

Ved agentfri logindsamling sendes de logdata, der genereres af enhederne, automatisk til en SIEM-server på en sikker måde, hvilket eliminerer behovet for en ekstra agent til at indsamle logfilerne og reducerer belastningen af enhederne.

Sådan fungerer agentfri logindsamling:

  • En klient, en vært, et system eller en enhed har tidligere installeret software på sig eller har i de fleste tilfælde allerede den nødvendige programmering til at indsamle alle de nødvendige data. Denne software eller programmering bruges til at indsamle logdata.
  • Logdataene videresendes ved hjælp af indbyggede protokoller som SNMP-traps, WECS, WMI og syslogs.
  • Den loggenererende vært kan sende sine logfiler direkte til SIEM, eller der kan være en mellemliggende logserver involveret, f.eks. en syslogserver.

Fordele ved agentfri logindsamling:

  • Det er nemmere og hurtigere at implementere, da det ikke involverer nogen softwareinstallation.
  • Lavere vedligeholdelsesomkostninger, fordi der ikke er behov for software- eller versionsopdateringer, da der ikke er nogen agent.
  • Da der ikke kræves nogen softwareinstallation, vedligeholdelse eller drift, kan agentfri logindsamling reducere administrationsindsatsen betydeligt.

Mellem agentbaseret og agentfri logindsamling er ingen af dem bedre end den anden. Valget skal træffes under hensyntagen til organisationens behov. Så det er bedst at have en SIEM-løsning, der tilbyder både agentbaserede og agentfri logindsamlingsmetoder.

Log360 er din komplette løsning til alle opgaver med logadministration og netværkssikkerhed. Det er en integreret løsning, der kombinerer EventLog Analyzer, ADAudit Plus og Cloud Security Plus i en enkelt konsol for at hjælpe dig med at administrere din netværkssikkerhed, overvågning af Active Directory og administration af offentlige skyer. EventLog Analyzer er designet til at understøtte både agentbaserede og agentfri logindsamlingsmekanismer for at håndtere alle enheder og programmer i netværket.

Følgende tabel viser nogle af de vigtige logkilder, og hvilke metoder der kan bruges til at indsamle disse logfiler i Log360.

Logkilde Agentbaseret logindsamling Agentfri logindsamling
Central Windows-infrastruktur afkrydset afkrydset
Databaseplatforme annuller afkrydset
Sikkerhedsløsninger til slutpunkter annuller afkrydset
Firewalls, NGFW'er, IDS'er og IPS'er annuller afkrydset
Hypervisorer annuller afkrydset
Linux- og Unix-systemer afkrydset afkrydset
Routere og switche annuller afkrydset
Sikkerhedsrisikoscannere annuller afkrydset
Webservere annuller afkrydset
Servere afkrydset afkrydset
Arbejdsstationer afkrydset afkrydset
Platforme i skyen annuller afkrydset

Få mere at vide om Log360, eller skriv til vores supportteam på support@log360.com, hvis du har spørgsmål til produktet.

Vil du gerne se på en SIEM-løsning?

ABONNER PÅ DET NYESTE INDHOLD

Hold mig opdateret
Demo
Log360 » Demo