Insamling och bearbetning av loggar och Netflow
På den här sidan
- Hur samlas loggar in?
- Hur samlas NetFlow-data in?
- Olika tekniker som används för loggbearbetning
Loggdata, som genereras av alla enheter och program i nätverket, tillsammans med NetFlow-data, som övervakar nätverkstrafiken, ger båda insikter om nätverksaktiviteter, vilket gör dem till de viktigaste källorna för säkerhetsinformations- och händelsehanteringslösningar (SIEM).
En SIEM-lösning samlar in, lagrar och analyserar denna information för att få djupare insikter om nätverksbeteendet, upptäcka hot och proaktivt begränsa attacker. I denna artikel kommer vi att gå igenom några metoder som används för att samla in och bearbeta denna information.
Hur samlas loggar in?
Loggar samlas in från alla typer av enheter, som databaser, routrar, brandväggar, servrar, IDS/IPS-enheter, domänkontrollanter, arbetsstationer och program.
Logginsamling kan göras på två sätt:
- agentfri logginsamling
Agentfri logginsamling är den vanligaste metoden som SIEM-lösningar använder för att samla in loggar. I denna metod skickas loggdata som genereras av enheterna automatiskt och säkert till en SIEM-server. Det behövs ingen ytterligare agent för att samla in loggarna, vilket minskar belastningen på enheterna.
- Agentbaserad logginsamling
Agentbaserad logginsamling kräver att en agent installeras på varje enhet som kan generera loggar. Denna metod gör det möjligt att filtrera loggar under insamlingen, enligt definierade parametrar. Agenter tar också upp mindre bandbredd och resurser och hjälper till att tillhandahålla filtrerade och strukturerade loggdata. Denna metod används när enheterna befinner sig i en säker zon där kommunikationen är begränsad och det är svårt att skicka loggar till en SIEM-server.
Hur samlas NetFlow-data in?
NetFlow-insamlingen motsvarar information om IP-trafik, huvudsakligen:
- Källans IP-adress
- Destinationens IP-adress
- Portar som har använts
- Utförda tjänster
och mer.
NetFlow-data samlas in med hjälp av en NetFlow-samlare, som även registrerar tidsstämplar, begärda paket, in- och utgångsgränssnitt för IP-trafik och mer. Processen för NetFlow-samling inkluderar insamling av NetFlow-data och analys av data för bandbreddshastighet, resursanvändning, överföring och mottagning i ett nätverk av NetFlow-samlare. NetFlow-samlares huvudsakliga funktioner är att samla in flödesdata som överförs via User Datagram Protocol (UDP) från NetFlow-aktiverade enheter och filtrera denna insamlade data för att minska volymen. Simple Network Management Protocol (SNMP) samlar in information om trafik vid varje observationspunkt i ett nätverk. Denna metod för datainsamling är aktiverad på alla enheter som har en Ethernet-port, och data övervakas och analyseras för att upptäcka avvikelser och förebygga hot.
Loggbearbetning
Nedan följer de olika metoderna som används för loggbearbetning.
Loggparsning
En parser kan ta ostrukturerad rå loggdata och formatera den genom att gruppera liknande data under relevanta attribut. Parsning underlättar hämtning och sökning av loggar. Varje SIEM-lösning innehåller flera parser för att bearbeta den insamlade loggdata.
Loggnormalisering
Normalisering innebär att endast den nödvändiga loggdata mappas under relevanta attribut, och detta kan konfigureras av IT-säkerhetsadministratören. För att övervaka viktiga aktiviteter i ett nätverk måste loggar normaliseras. Lognormalisering kan hjälpa till att skilja mellan regelbundna och oregelbundna aktiviteter i ett nätverk.
Loggindexering
Normaliserad loggdata separeras och lagras i filer som innehåller indexerad logginformation – administratörer kan använda sökfrågor för att söka i denna indexerade data och på så sätt påskynda sökprocessen. SIEM-lösningar kan konfigureras av nätverksadministratören för att registrera data under ett specifikt index för enklare hämtning och tolkning.
Logganalys
Genom att korrelera loggdata kan man avgöra om de olika loggkällorna är kopplade till en specifik händelse som hotar nätverkssäkerheten. Forensiska rapporter hjälper till att fastställa var nätverket blev utsatt och hur attacken genomfördes. Logganalys spelar en viktig roll för att förstå användarbeteende och upptäcka hot, och hjälper också till att förhindra en attack innan den inträffar.