• Hem
  • SIEM
  • Olika typer av loggar i SIEM

Olika typer av loggar i SIEM och deras loggformat

På den här sidan

  • Typer av loggdata
  • Olika loggformat
  • Gemensamt händelseformat

En lösning för säkerhetsinformation och händelsehantering (SIEM) säkerställer en sund säkerhetsstatus för en organisations nätverk genom att övervaka olika typer av data från nätverket. Loggdata registrerar alla aktiviteter som sker på enheten och i applikationer över nätverket. För att bedöma säkerhetsläget i ett nätverk måste SIEM-lösningar samla in och analysera olika typer av loggdata.

Artikeln går igenom vilka typer av loggar som bör samlas in och analyseras med ett SIEM-system för att skydda nätverket.

Typer av loggdata

Det finns sex olika typer av loggar som övervakas av SIEM-lösningar:

1. Loggar för perimeterenheter

Perimeterenheter övervakar och reglerar trafiken till och från nätverket. Brandväggar, virtuella privata nätverk (VPN:er), intrångsdetekteringssystem (IDS) och intrångsskyddssystem (IPS) är några av perimeterenheterna. Dessa enheter genererar loggar som innehåller stora mängder data, och loggar från perimeterenheter är avgörande för att förstå säkerhetshändelser som inträffar i nätverket. Loggdata i syslog-format hjälper IT-administratörer att genomföra säkerhetsgranskningar, felsöka driftsproblem och bättre förstå trafiken som passerar genom och från företagets nätverk.

Varför är det viktigt att hålla koll på loggar från perimeterenheter?

  • För att upptäcka skadlig trafik till ditt nätverk: Dessa loggar innehåller information om inkommande trafik, IP-adresser till webbplatser som användarna besökt och misslyckade inloggningsförsök – vilket gör det lättare att upptäcka avvikande trafik.
  • För att identifiera felaktiga säkerhetsinställningar: Felaktiga säkerhetsinställningar är den främsta orsaken till intrång genom brandväggar. Små justeringar i brandväggen kan göra nätverket sårbart för skadlig trafik. Genom att övervaka brandväggsloggarna kan du upptäcka obehöriga ändringar av säkerhetskonfigurationen.
  • För att upptäcka attacker: Analys av brandväggsloggar hjälper dig att upptäcka mönster i nätverksaktiviteten. Om en server plötsligt tar emot många SYN-paket på kort tid för att ansluta klienten till en server, kan detta tyda på en överbelastningsattack (DDoS).

Analysera loggdata från en typisk perimeterenhet (brandvägg)

2015-07-06 11:35:26 ALLOW TCP 10.40.4.182 10.40.1.11 63064 135 0 - 0 0 0 - - - SEND

Loggposten ovan anger tidsstämpeln för händelsen, följt av åtgärden. I detta fall anger det dagen och tiden då brandväggen tillät trafik. Den innehåller också information om det använda protokollet samt IP-adresser och portnummer för källa och destination. Sådan loggdata kan avslöja om någon försöker ansluta till oanvända portar – ett tydligt tecken på skadlig trafik.

Om den här förklaringen: Detta innehåll är en del av vår fördjupade serie om Vad är SIEM och SIEM-verktyg. Utforska vidare för insikter från experter och bästa praxis!

2. Windows-händelselogg

Windows-händelseloggar sparar alla händelser som sker i Windows-systemet. Dessa loggdata klassificeras vidare i:

  • Windows-programloggar: Dessa är händelser som loggas av program i Windows-operativsystemet. Om ett program kraschar eller stängs på grund av ett fel registreras det i programloggen.
  • Säkerhetsloggar: Detta är alla händelser som kan påverka systemets säkerhet. Det inkluderar misslyckade inloggningsförsök och fall av filradering.
  • Systemloggar: Den innehåller händelser som loggas av operativsystemet. Loggarna visar om processer och drivrutiner har laddats korrekt.
  • Katalogtjänstloggar: Den innehåller händelser som loggats av Active Directory-tjänsten (AD). Här loggas åtgärder i AD som inloggningar och ändringar av privilegier. Dessa loggar är endast tillgängliga för domänkontrollanter.
  • DNS-serverloggar: Dessa loggar kommer från DNS-servrar och innehåller uppgifter som klientens IP-adress, vilken domän som sökts upp och vilken typ av DNS-post som begärts. Den är endast tillgänglig för DNS-servrar.
  • Loggar för filreplikeringstjänster: Den innehåller händelser relaterade till replikering av domänkontrollanter. Den är endast tillgänglig för domänkontrollanter.

Varför behöver du övervaka Windows-händelseloggar?

  • För att säkerställa serversäkerheten: De flesta kritiska servrar, såsom filservrar och AD-domänkontrollanter, körs på Windows-plattformen. Det är viktigt att övervaka dessa loggdata för att förstå vad som händer med dina kritiska resurser.
  • Säkerhet för Windows-arbetsstationer: Händelseloggar ger värdefull information om hur en arbetsstation fungerar. Genom att övervaka Windows-händelseloggar som genereras från en enhet kan användaraktiviteter övervakas för avvikande beteende, vilket kan hjälpa till att upptäcka attacker i ett tidigt skede. Vid en attack kan loggarna hjälpa till att rekonstruera användarens aktiviteter för forensiska ändamål.
  • För att övervaka hårdvarukomponenter: En analys av Windows-händelseloggor hjälper till att diagnostisera problem med felaktiga hårdvarukomponenter i en arbetsstation genom att ange orsaken till felet.

Att dissekera en typisk Windows-händelselogg

Warning 4/28/2020 12:32:47 PM WLAN-AutoConfig 4003 None

Windows klassificerar varje händelse utifrån dess allvarlighetsgrad som Varning, Information, Kritisk och Fel. Säkerhetsnivån i detta fall är Varning. Loggen ovan kommer från tjänsten WLAN AutoConfig, som är ett verktyg för anslutningshantering som gör det möjligt för användare att dynamiskt ansluta till ett trådlöst lokalt nätverk (WLAN). Nästa segment anger datum och tidpunkt för händelsen.. WLAN AutoConfig har enligt loggen upptäckt begränsad uppkoppling och försöker nu återställa anslutningen automatiskt. SIEM-lösningen kan använda denna logg för att söka efter liknande händelser på andra enheter vid samma tidpunkt, och på så sätt felsöka nätverksproblemet.

3. Slutpunktsloggar

Slutpunkter är enheter som är anslutna via nätverket och kommunicerar med andra enheter via servrar. Några exempel är stationära datorer, bärbara datorer, smartphones och skrivare. I och med att organisationer i allt större utsträckning tillämpar distansarbete skapar slutpunkterna ingångspunkter till nätverket som kan utnyttjas av illasinnade aktörer.

Varför behöver du övervaka slutpunktsloggar?

  • För att övervaka aktiviteter på flyttbara hårddiskar: Flyttbara hårddiskar är ofta sårbara för installation av skadlig programvara och försök till dataexfiltrering. Genom att övervaka slutpunktsloggar kan dessa försök upptäckas.
  • För att övervaka användaraktivitet: Användare är skyldiga att följa både organisationens interna och externa regelverk gällande installation och användning av programvara på sina arbetsstationer. Slutpunktsloggar kan användas för att övervaka dessa principer och ge aviseringar om överträdelser sker.

Att dissekera en typisk logg från en slutpunktsenhet

Error 6/20/2019 5:00:45 PM Terminal Services- Printers 1111 None

Enligt loggen har det uppstått ett fel med drivrutinen Enkel utskrift för fjärrskrivbord. Felet identifieras av felkällan och händelse-ID:et (1111). Om en användare stöter på problem vid utskrift av en fil kan loggarna kontrolleras för att förstå den exakta orsaken till problemet och åtgärda det.

4. Programloggar

Företag använder sig av databaser, webbapplikationer och egna interna system för att hantera olika verksamhetskritiska uppgifter. Dessa applikationer är ofta avgörande för att verksamheten ska fungera effektivt. Alla dessa program genererar loggdata som ger insikter om vad som händer i programmen.

Varför behöver du övervaka programloggar?

  • För att felsöka problem: Dessa loggar hjälper till att identifiera och korrigera problem relaterade till programmets prestanda och säkerhet.
  • För att övervaka aktiviteter: Loggfiler som genereras från en databas visar förfrågningar och sökningar från användare. Detta kan användas för att upptäcka obehörig filåtkomst eller försök till datamanipulation av användare. Loggarna är också användbara för att felsöka problem i databasen.

Dissekera en typisk programlogg

02-AUG-2013 17:38:48 * (CONNECT_DATA=(SERVICE_NAME=dev12c)
(CID=(PROGRAM=sqlplus)(HOST=oralinux1)(USER=oracle))) *
(ADDRESS=(PROTOCOL=tcp)(HOST=192.168.2.121)(PORT=21165))
* establish * dev12c * 0

Ovanstående loggpost kommer från ett Oracle-databassystem. Loggfilen avser ett anslutningsförsök från en värddator. Loggen visar vilket datum och klockslag databasen tog emot anslutningsförsöket. Den anger också användaren och värddatorn som begäran kom från, tillsammans med dess IP-adress och portnummer.

5. Proxyloggar

Proxyservrar spelar en viktig roll i en organisations nätverk genom att tillhandahålla integritet, reglera åtkomst och spara bandbredd. Alla webbförfrågningar går via proxyservern, vilket gör att dess loggar kan ge insikter om användarnas surfmönster och hur nätverket används.

Varför behöver du övervaka proxyloggar?

  • För att fastställa användarnas beteende: Genom att analysera användarnas surfaktiviteter från de insamlade proxyloggarna kan man skapa en baslinje för deras beteende. Varje avvikelse från baslinjen kan avslöja ett dataintrång och indikera att ytterligare undersökning krävs.
  • För att övervaka paketens längd: Proxyloggar kan hjälpa till att övervaka längden på de paket som utväxlas via proxyservern. Om en användare ofta skickar eller tar emot datapaket av exakt samma storlek kan det tyda på en legitim uppdatering – eller på att skadlig kod kommunicerar med en kontrollserver.

Dissekera en typisk proxylogg

4/8/2020 2:20:55 PM User-001 192.168.10.10 GET https://wikipedia.com/

Enligt loggen ovan har User-001 besökt Wikipedia.com vid det angivna datumet och klockslaget. Att analysera förfrågningar, URL:er och tidsstämplar i loggarna hjälper till att upptäcka mönster och underlättar bevisinsamling i händelse av en incident.

6. IoT-loggar

Sakernas internet (IoT) syftar på ett nätverk av fysiska enheter som utbyter data med andra enheter via internet. Dessa enheter är utrustade med sensorer, processorer och programvara för att möjliggöra insamling, bearbetning och överföring av data. Precis som slutpunkter genererar enheter som ingår i ett IoT-system loggar. Loggdata från IoT-enheter ger insikter om hur hårdvarukomponenter, såsom mikrokontroller, fungerar, om enhetens krav på uppdatering av inbyggd programvara och om dataflödet in och ut ur enheten. En viktig del av loggningen av data från IoT-system är lagringsplatsen för loggdata. Dessa enheter har inte tillräckligt med minne för att lagra loggarna. Loggarna måste därför skickas till ett centralt logghanteringssystem som kan lagra dem under en längre tid. SIEM-lösningen analyserar därefter loggarna för att felsöka fel och upptäcka säkerhetshot.

Loggarna från alla ovanstående källor vidarebefordras vanligtvis till den centraliserade logghanteringslösningen som korrelerar och analyserar data för att ge en säkerhetsöversikt över ditt nätverk. Loggfilerna sparas och skickas i flera olika format, till exempel CSV, JSON, nyckel-värde-par och Common Event Format.

Olika loggformat

CSV

CSV är ett filformat som lagrar värden i ett kommaseparerat format. Det är ett vanligt textfilformat som gör det möjligt att enkelt importera CSV-filer till en lagringsdatabas, oavsett vilken programvara som används. CSV-filer är varken hierarkiska eller objektorienterade, vilket gör dem lättare att omvandla till andra format.

JSON

JavaScript Object Notation (JSON) är ett textbaserat format för lagring av data. Eftersom formatet är strukturerat blir det lättare att analysera loggdata som lagras. I JSON kan man också söka efter specifika fält. Dessa extrafunktioner gör JSON till ett mycket tillförlitligt format för logghantering.

Nyckel-värde-par

Ett nyckel-värdepar består av två delar: en nyckel och ett värde som är kopplat till den. Nyckeln är en konstant, och värdet varierar mellan olika poster. Formateringen innebär att liknande datauppsättningar grupperas under en gemensam nyckel. Genom att köra sökningen för en specifik nyckel kan alla data under den nyckeln extraheras.

Gemensamt händelseformat

Common Event Format, ofta kallat CEF, är ett logghanteringsformat som främjar interoperabilitet genom att göra det enklare att samla in och lagra loggdata från olika enheter och program. Det bygger på syslog-formatet för meddelanden. Som det mest använda loggformatet stöds det av många leverantörer och programvaruplattformar, och är uppbyggt av ett CEF-huvud samt en tilläggsdel med loggdata i form av nyckel-värde-par.

Detta är de olika typerna av loggar och vilket format de har. Det är både krångligt och tidsödande att manuellt samla in loggar från olika delar av nätverket och korrelera dem. En SIEM-lösning kan hjälpa dig med detta. En SIEM-lösning analyserar loggar som samlats in från olika källor, korrelerar loggdata, och tillhandahåller insikter för att hjälpa organisationer att upptäcka och återhämta sig från cyberattacker.

Föreslagen läsning

Logg- och datahantering Hotjakt HotinformationUpptäckt av hot