Forskellige slags logfiler i SIEM og deres formater

2. Windows' hændelseslogfiler

Windows' hændelseslogfiler er en registrering af alt, hvad der sker på et Windows-system. Disse logdata er klassificeret således:

• Logfiler fra Windows-programmer: Det er hændelser, der logges af programmerne i Windows-operativsystemet. For eksempel registreres en fejl, der tvinger programmet til at lukke, i denne programlog.
• Sikkerhedslogfiler: Det er alle hændelser, der kan påvirke systemets sikkerhed. Det omfatter mislykkede loginforsøg og sletning af filer.
• Systemlogfiler: De indeholder hændelser, der logges af operativsystemet. Logfilerne viser, om processer og drivere blev indlæst korrekt.
• Logfiler fra katalogtjeneste: De indeholder hændelser, der logføres af Active Directory (AD)-tjenesten. De registrerer AD-operationer som godkendelse og ændring af rettigheder. Disse logfiler er kun tilgængelige for domænecontrollere.
• DNS-serverlogfiler: Det er logfiler fra DNS-servere (Domain Name System) med oplysninger som klientens IP-adresse, det forespurgte domæne og den ønskede post. De er kun tilgængelige for DNS-servere.
• Logfiler fra filreplikeringstjeneste: De indeholder hændelser med replikering af domænecontrollere. De er kun tilgængelige for domænecontrollere.

Hvorfor skal du overvåge Windows' hændelseslogfiler?

• Af hensyn til serverens sikkerhed: De fleste kritiske servere, f.eks. filservere og AD-domænecontrollere, kører på Windows-platformen. Det er vigtigt at overvåge disse logdata, for at forstå hvad der sker med dine kritiske ressourcer.
• Sikkerhed på Windows-arbejdsstationer: Hændelseslogfiler giver værdifuld indsigt i, hvordan en arbejdsstation fungerer. Ved at overvåge Windows' hændelseslogfiler, der genereres på en enhed, kan brugeraktiviteter overvåges for unormal adfærd, hvilket kan hjælpe med at detektere angreb i de tidlige stadier. I tilfælde af et angreb kan logfilerne hjælpe med at rekonstruere brugerens aktiviteter til forensiske formål.
• For at overvåge hardwarekomponenter: En analyse af Windows' hændelseslogfiler hjælper med at diagnosticere problemer med fejlbehæftede hardwarekomponenter på en arbejdsstation ved at angive fejlårsagen.

Analyse af en typisk Windows-hændelseslog

Warning 4/28/2020 12:32:47 PM WLAN-AutoConfig 4003 None

Windows klassificerer alle hændelser ud fra deres alvorsgrad som Advarsel, Information, Alvorlig og Fejl. Sikkerhedsniveauet i dette tilfælde er Advarsel. Logposten ovenfor er fra WLAN AutoConfig-tjenesten, som er et værktøj til forbindelsesadministration, der gør det muligt for brugere at oprette dynamisk forbindelse til et trådløst lokalnetværk (WLAN). Det næste segment angiver dato og tidspunkt for hændelsen. Loggen angiver, at WLAN AutoConfig har detekteret begrænset netværksforbindelse og forsøger automatisk genoprettelse. Ved hjælp af denne log kan en SIEM-løsning tjekke for lignende logfiler på andre enheder med samme tidsstempel som i den første log for at løse problemet med netværksforbindelsen.

3. Slutpunktslogfiler

Slutpunkter er enheder, der er forbundet via netværket og kommunikerer med andre enheder via servere. Nogle eksempler er stationære og bærbare computere, smartphones og printere. Når organisationer i stigende grad indfører fjernarbejde, skaber slutpunkter adgangspunkter til netværket, som kan udnyttes af skadelige aktører.

Hvorfor skal du overvåge logfiler fra slutpunkter?

• For at overvåge aktiviteter på flytbare diskdrev: Flytbare diskdrev er ofte sårbare over for malwareinstallationer og forsøg på dataudtrækning. Ved at overvåge slutpunktets logfiler kan disse forsøg detekteres.
• For at overvåge brugeraktivitet: Brugere skal overholde deres organisations interne og eksterne lovgivningsmæssige politikker i forbindelse med installation og brug af software på deres arbejdsstationer. Logfiler for slutpunkter kan bruges til at overvåge disse politikker og give besked, hvis de overtrædes.

Analyse af en typisk slutpunktslog

Error 6/20/2019 5:00:45 PM Terminal Services- Printers 1111 None

Ovenstående log angiver, at der er opstået en fejl med terminaltjenesternes Easy Print-driver. Dette angives af fejlkilden og hændelses-ID'et (1111). Hvis en bruger har problemer med at udskrive en fil, kan logfilerne tjekkes for at forstå den nøjagtige årsag til problemet og løse det.

4. Programlogfiler

Virksomheder kører forskellige programmer som databaser, webserverprogrammer og andre interne programmer til at udføre specifikke funktioner. Disse programmer er ofte afgørende virksomhedens normale drift. Alle disse programmer genererer logdata, der giver indsigt i, hvad der sker i programmerne.

Hvorfor skal du overvåge logfiler fra programmer?

• For at fejlfinde problemer: Disse logfiler hjælper med at identificere og rette problemer med programmers performance og sikkerhed.
• For at overvåge aktivitet: Logfiler, der genereres af en database, viser anmodninger og forespørgsler fra brugere. Dette kan bruges til at detektere uautoriseret filadgang eller forsøg på datamanipulation fra brugernes side. Logfilerne er også nyttige til fejlfinding af problemer i databasen.

Analyse af en typisk programlog

02-AUG-2013 17:38:48 * (CONNECT_DATA=(SERVICE_NAME=dev12c)
(CID=(PROGRAM=sqlplus)(HOST=oralinux1)(USER=oracle))) *
(ADDRESS=(PROTOCOL=tcp)(HOST=192.168.2.121)(PORT=21165))
* establish * dev12c * 0

Ovenstående logpost er fra et Oracle-databasesystem. Loggen er for et forbindelsesforsøg fra en værtscomputer. Loggen viser det tidspunkt og den dato, hvor anmodningen blev modtaget af databaseserveren. Den angiver også brugeren og den værtscomputer, som anmodningen kom fra, samt dens IP-adresse og portnummeret.

5. Proxylogfiler

Proxyservere spiller en vigtig rolle i en organisations netværk ved at sørge for privatlivets fred, regulere adgangen og spare båndbredde. Da alle webanmodninger og ‑svar går gennem proxyserveren, kan proxylogfiler afsløre værdifulde oplysninger om statistikker over forbrug og slutpunktsbrugeres browsingadfærd.

Hvorfor skal du overvåge proxylogfiler?

• Til at fastlægge baseline for brugeradfærd: Analyse af brugernes browsingaktiviteter ud fra de indsamlede proxylogfiler kan hjælpe med at danne en baseline for deres adfærd. Enhver afvigelse fra baseline kan afsløre et brud på datasikkerheden og indikere, at der er behov for yderligere inspektion.
• For at overvåge længden af pakker: Proxy-logfiler kan hjælpe med at overvåge længden af de pakker, der udveksles gennem proxyserveren. For eksempel kan en bruger, der gentagne gange sender eller modtager pakker af samme længde i et givet tidsrum, indikere en softwareopdatering eller afsløre malware, der udveksler signaler med kontrolservere.

Analyse af en typisk proxylog

4/8/2020 2:20:55 PM User-001 192.168.10.10 GET https://wikipedia.com/

Ovenstående log angiver, at User-001 anmodede om sider fra Wikipedia.com på den dato og det tidspunkt, der er angivet i loggen. Analyse af anmodninger, URL'er og tidsstempler i logfilerne hjælper med at detektere mønstre og hjælper med at gendanne beviser i tilfælde af en hændelse.

6. IoT-logfiler

Internet of Things (IoT) er et netværk af fysiske enheder, der udveksler data med andre enheder på internettet. Disse enheder indeholder sensorer, processorer og software, så data kan indsamles, behandles og overføres. Ligesom slutpunkter genererer enheder i et IoT-system logfiler. Logdata fra IoT-enheder giver indsigt i hardwarekomponenternes funktion, f.eks. mikrocontrollere, enhedens krav til firmwareopdatering og dataflowet ind og ud af enheden. En vigtig del af logføring af data fra IoT-systemer er, hvor logdataene skal opbevares. Disse enheder har ikke tilstrækkelig hukommelse til at gemme logfilerne. Derfor skal logfilerne sendes videre til en central logadministrationsløsning, hvor de kan opbevares i længere tid. SIEM-løsningen analyserer derefter logfilerne for at fejlfinde og detektere sikkerhedstrusler.

Loggene fra alle ovenstående kilder videresendes normalt til den centraliserede logføringsløsning, der korrelerer og analyserer dataene for at give et sikkerhedsoverblik over dit netværk. Loggene gemmes og overføres i forskellige formater, f.eks. CSV, JSON, nøgleværdipar og Common Event Format.

Forskellige logformater

CSV

CSV er et filformat, der gemmer værdier i et kommasepareret format. Det er et almindeligt tekstfilformat, som gør det nemt at importere CSV-filer til en lagerdatabase, uanset hvilken software der bruges. Fordi CSV-filer ikke er hierarkiske eller objektorienterede, er de også lettere at konvertere til andre filtyper.

JSON

JavaScript Object Notation (JSON) er et tekstbaseret format til lagring af data. Det er et struktureret format, som gør det lettere at analysere de lagrede logfiler. Der kan også spørges efter specifikke felter. Disse ekstra funktioner gør JSON til et meget pålideligt format til logadministration.

Nøgleværdipar

Et nøgleværdipar består af to elementer: en nøgle og en værdi, der er knyttet til den. Nøglen er en konstant, og værdien varierer mellem poster. Formateringen indebærer, at lignende datasæt grupperes under en fælles nøgle. Ved at køre forespørgslen for en bestemt nøgle kan alle data under den nøgle trækkes ud.

Common Event Format

Common Event Format (CEF) er et format til logadministration, der fremmer interoperabilitet ved at gøre det lettere at indsamle og gemme logdata fra forskellige enheder og programmer. Den bruger syslog-meddelelsesformatet. Det er det mest udbredte logformat, understøttes af en række leverandører og softwareplatforme og består af en CEF-header og en CEF-udvidelse, der indeholder logdata i nøgleværdipar.

Dette er de forskellige slags logdata og deres formater. Det er besværligt og tidkrævende at indsamle disse logfiler manuelt fra alle de forskellige kilder i et netværk og sammenholde dem. En SIEM-løsning kan hjælpe dig med dette. En SIEM-løsning analyserer logfiler indsamlet fra forskellige kilder, korrelerer logdataene og giver indsigt for at hjælpe organisationer med at detektere cyberangreb og udbedre skaderne efter dem.