Indsamling og behandling af logfiler og NetFlow

Logdata, der genereres af alle enheder og programmer i netværket, samt NetFlow-data, der overvåger netværkstrafikken, giver begge indsigt i netværksaktiviteter, hvilket gør dem til de vigtigste inputkilder til SIEM-løsninger (Security Information and Event Management).

En SIEM-løsning indsamler, gemmer og analyserer disse oplysninger for at få dybere indsigt i netværksadfærd, detektere trusler og proaktivt afbøde angreb. Denne artikel handler om nogle af de teknikker, der bruges til at indsamle og behandle disse oplysninger.

Hvordan indsamles logfiler?

Der indsamles logfiler fra alle enheder, f.eks. databaser, routere, firewalls, servere, IDS-/IPS-enheder, domænecontrollere, arbejdsstationer og programmer.

Logindsamling kan gøres på to måder:

• Agentfri logindsamling

  Agentfri logindsamling er den fremherskende metode, som SIEM-løsninger bruger til at indsamle logfiler. Med denne metode sendes logdata genereret af enhederne automatisk og sikkert til en SIEM-server. Der er ikke behov for en ekstra agent til at indsamle logfilerne, hvilket reducerer belastningen på enhederne.

• Agentbaseret logindsamling

  Agentbaseret logindsamling kræver, at en agent implementeres på alle enheder, der kan generere logfiler. Denne metode kan hjælpe med at filtrere logfiler, mens de indsamles, baseret på definerede parametre. Agenter bruger også mindre båndbredde og færre ressourcer og hjælper med at levere filtrerede og strukturerede logdata. Denne metode bruges, når enhederne befinder sig i en sikker zone, hvor kommunikationen er begrænset, og det er svært at sende logfiler til en SIEM-server.

Hvordan indsamles NetFlow-data?

NetFlow-indsamling svarer hovedsageligt til oplysninger om IP-trafik:

• Kilde-IP-adresse
• Destinationens IP-adresse
• Benyttede porte
• Udførte tjenester
  Og mere.

Indsamling af NetFlow-data sker med en NetFlow-indsamler, som også registrerer tidsstempler, de pakker, der blev anmodet om, ind- og udgangsinterfaces for IP-trafikken og meget mere. Processen med NetFlow-indsamling omfatter indsamling af NetFlow-data og analyse af data for båndbreddehastighed, ressourceudnyttelse, transmission og modtagelse i et netværk af NetFlow-indsamlere. NetFlow-indsamlernes hovedfunktioner omfatter indsamling af flowdata sendt med User Datagram Protocol (UDP) fra NetFlow-aktiverede enheder og filtrering af de indsamlede data for at reducere deres mængde. Simple Network Management Protocol (SNMP) indsamler oplysninger om trafik ved hvert observationspunkt i et netværk. Denne metode til dataindsamling er aktiveret på alle enheder, der har en ethernetport, og dataene overvåges og analyseres for at detektere uregelmæssigheder og forhindre trusler.

Behandling af logfiler

De forskellige teknikker, der bruges til logbehandling, står nedenfor.

Parsing af logfiler

En parser kan tage ustrukturerede, rå logdata og formatere dem ved at gruppere lignende data under relevante attributter. Parsing gør det lettere at hente og søge i logfiler. Hver SIEM-løsning indeholder flere parsere til at behandle de indsamlede logdata.

Normalisering af logfiler

Normalisering er processen med kun at kortlægge de nødvendige logdata under relevante attributter, hvilket kan konfigureres af IT-sikkerhedsadministratoren. For at overvåge de vigtige aktiviteter i et netværk skal logfiler normaliseres. Lognormalisering kan hjælpe med at skelne mellem regelmæssige og uregelmæssige aktiviteter i et netværk.

Indeksering af logfiler

Normaliserede logdata adskilles og gemmes i filer, der indeholder indekserede logoplysninger; administratorer kan forespørge i de indekserede data for at fremskynde søgningen. SIEM-løsninger kan konfigureres af netværksadministratoren til at registrere data under et bestemt indeks for lettere at kunne hente og fortolke dem.

Analyse af logfiler

Korrelation af logdata hjælper med at identificere, om de forskellige logkilder svarer til en bestemt hændelse, der truer netværkssikkerheden. Forensiske rapporter hjælper med at verificere, hvor netværket blev kompromitteret, og hvordan et angreb blev udført. Loganalyse spiller en vigtig rolle i at forstå brugeradfærd, detektere trusler og hjælpe med at forhindre et angreb, før det sker.