Keskse logimise väärtus
Iga süsteem logib andmeid diagnostika tarbeks – nii rakenduste kõrvalekaldeid kui turvaintsidente. Reeglina toimub logimine vaikselt kasutajat segamata, kuna tavaliselt tahab iga inimene keskenduda oma igapäevatöö tulemuslikkusele mitte IT süsteemide toimimise nüanssidele. Siiski on olukordi, kus süsteemide logid on väärtuslikud kõrvalekallete diagnoosimiseks, andmelekete ja rünnakute tuvastamiseks ning tõendusmaterjali kogumiseks. Kui logid asuvad ainult operatiivsüsteemides, ei pruugi need turvaintsidendi korral olla kättesaadavad.
Keskse logimise käigus kogutakse logid võrguseadmetest, serveritest ja rakendustest ühte kesksesse asukohta analüüsiks ja säilitamiseks. Taolised logid annavad administraatoritele tervikliku pildi kogu võrgus toimuvast, tehes lihtsamaks kõrvalekallete tuvastamise ja kõrvaldamise. Taolisi keskseid logisüsteeme kasutatakse turbeteabe ja sündmuste halduses (SIEM) eesmärgiga tuvastada ja kõrvaldada ohud enne kui need igapäevast tööd mõjutavad.
Kesksed kaitstud logid moodustavad kontrolljälje süsteemitegevustest, sündmustest ja muudatustest võrgusüsteemides. Need võimaldavad diagnoosida probleeme süsteemide funktsionaalsuses, jõudluses ja turvalisuses. Näiteks süsteemilogist on võimalik tuvastada, milliseid muudatusi on süsteemile tehtud ning kes neid muudatusi tegi. Taoliste logide pidamine võib tuleneda kehtestatud nõuetest, kuid on vajalikud ka väärkasutuse ja tahtluse tõendamiseks.
Kui logitav süsteem on sattunud ründe alla ning küberkurjategijad on süsteemi juba üle võtnud, ei ole võimalik süsteemi enda logisid enam diagnostikaks kasutada. Lisaks on süsteem vaja koheselt isoleerida ohu leviku piiramiseks. Keskne logimine annab väärtuslikku infot ründe diagnoosimiseks ning ära hoidmiseseks teistes süsteemides.
Ärisaladuse kaitse
- Ärisaladuse kaitse on mitmetahuline protsess, kus kaitstav teave peab vastama vähemalt järgmistele nõuete.
- Teave ei ole üldteada või kergesti kättesaadav isikutele, kes tavaliselt sellist laadi teabega tegelevad
- Teabel on kaubanduslik väärtus, mis tuleneb teabe salajasusest
- Teabevaldaja on võtnud ette vajalikke meetmeid, et hoida teavet salajas
- Lisaks eelnevale peab ka tõendama, et töötaja on ärisaladusele juurdepääsu saanud ning ta on seda juurdepääsu kasutanud.
Taoline tõendamisvajadus tekib sageli mitu kuud peale ligipääsu kasutamist, tavaliselt peale endise töötaja tööle asumist konkurendi juures. Operatiivsüsteemid säilitavad logi väga lühikest aega, ainult rikkediagnostika jaoks, ning tõendamisvajaduse tekkimisel ei ole tõendusmaterjali enam võimalik leida. Keskne logi on optimeeritud pikaajalisele säilitamisele ning tõendite leidmiseks vajalike analüütiliste päringute tegemiseks.
Operatiivne tööriist spetsialistidele
Iga server, võrguseade ja rakendus logib omas formaadis. Kui IT spetsialist peab süsteemidesse käsitsi sisse logima ning lugema erinevaid formaate, on protsess aeglane ning õigete logikannete üles leidmine keeruline. Keskne SIEM süsteem koondab erinevate süsteemide logid samasse formaati. Selliselt saab IT spetsialist ühest kohast sama päringu loogikat kasutades analüüsida logisid kõikidest halduses olevatest süsteemidest. Samuti on selliselt võimalik leida seoseid juhtumite vahel nagu üldine rünne organisatsiooni serverite pihta. Ühtse logi baasil tehtud aruanne annab tervikpildi turvalisuse olukorrast.
Kokkuvõtteks on keskse logide kogumise kasud:
- Tervikvaade üle kogu arvutivõrgu
- Pika perioodi jooksul toimunud tegevuste tõendamine
- Probleemide kiirem tuvastamine ja lahendamine
- Erinevate logiformaatide teisendamine standardkujule
- Seoste leidmine erinevate sündmuste vahel
- Spetsialisti aja kokkuhoid juhtumi avastamisel
- Terviklik aruanne kogu süsteemi toimimise kohta