LOG Management
Informační systémy společností představují množství dat a informací – ty jsou pomocí softwarového řešení ukládány ve formě tzv. logů. Práci s nimi však není radno podcenit. Základem pro log management je správa logů, tak aby byly spolehlivým a bezpečným zdrojem informací o událostech ve firemním IT prostředí.
Sjednocení informací ve formě logů
Přehled o klíčových událostech v IT prostředí
Zvýšení bezpečnosti a úspora času
Proč řešit log management
Bez efektivního log managementu se dnes neobejdou žádné střední a větší společnosti ani státní správa a instituce. Prakticky sem spadají všechny organice, jejichž IT systémy pracují s informacemi ve formě logů.
Sjednocení logů do jednotného formátu také pomáhá odhalení případného kybernetického útoku a je prevencí před vznikem škod. Důvody pro centrální řešení log managementu jsou především:
- bezpečnostní
- operační/provozní
- regulatorní/legislativní (viz zákon o kybernetické bezpečnosti)
- Sběr a dlouhodobou archivaci logů
- Log management je orientován pouze na sběr událostí
- SIEM – Security Information and Event Management představuje schopnost automatických korelací a reportingu
SIEM je vhodnou nadstavbou log managementu, když:
- Surové logy nestačí
- V rámci organizace existuje rozsáhlé IT prostředí
- Je potřeba korelace dat v reálném čase
- Chcete centralizovat data a eliminovat potřebu práce s více systémy
- Je nutná dodatečná indexace
- Požadujete maximálně efektivní reporting
- Sběr logů a dat
- Agregace
- Normalizace
- Filtrace
- Korelace
- Notifikace
- Archivace
- Retence
- Reporting
- Centralizovanou agregaci a analýzu logů
- Rotaci logů
- Vyhledávání a hlášení (monitoring a tzv. alert systém) logů
- Možnost zpřístupnit logy vybraným skupinám uživatelů, např. vývojářům, managementu apod.
Přínosy log managementu
Standardů zpracování dat je v současné době nepřeberné množství. Jednotná norma pro formát strojových dat neexistuje. Navíc každá aktualizace systémů může být spojena se změnou dosavadního formátu dat a logů. Jejich zpracování tedy může být velmi obtížné. Díky dobře nastavenému log managementu budou vaše data vždy srozumitelná a dobře zpracovatelná.
Je běžné, že v rámci prevence exponenciálního růstu datového objemu jsou starší logy přepisovány novými. V praxi se pak může stát, že ve chvíli, kdy potřebujete konkrétní log, již není k dispozici. Nebezpečné je to zejména v případě, kdy dojde ke kybernetickému útoku a útočník zahladí stopy tím, že smaže či přepíše klíčová data.
Podobně nepříjemná je situace, kdy potřebujete využít starší data pro potřeby analýzy či auditu a data již nejsou k dispozici. I tady platí, že prevence v podobě kvalitního log managementu je bezpečnější a levnější než snaha o nápravu škod tzv. ex-post.
Možná je vaše organizace v situaci, kdy podléhá povinnosti dodržovat nejrůznější standardy, předpisy či zákony (např. Zákon o kybernetické bezpečnosti, GDPR, ePrivacy apod.). V tomto případě je nezbytné tyto požadavky promítnout také do procesů log managementu napříč IT systémy.
Ve chvíli, kdy počet IT systémů ve společnosti narůstá, roste také náročnost jejich správy a případného vyhledávání bezpečnostních incidentů. Centrální správa logů celý proces činí přehlednějším a mnohem rychlejším. Tím dochází k úspoře času klíčových pracovníků, peněz i snížení rizika potenciálních chyb.
Vlastnosti SIEM
SIEM neboli Security Information and Event Management představuje řešení umožňující odhalení a analýzu bezpečnostní hrozby napříč IT systémy vaší organizace. Díky tomu můžete na potenciální hrozby reagovat dříve, než dojde k nenapravitelným škodám.
Díky SIEM máte přehled o aktivitách napříč informační sítí společnosti a veškerých klíčových aktivitách.
Jak probíhá implementace SIEM
Tým initMAXu zpracuje podrobnou analýzu prostředí vaší organizace (společnosti), ideálně současně s analýzou vnitřních procesů a známých rizik.
Security Information and Event Management (SIEM) implementujeme s ohledem na potřeby a MAXimální přínos pro vaši organizaci.
Monitorujeme celý proces a zajišťujeme adekvátní reakce na vzniklé incidenty. Společně všechny procesy a systémy pravidelně aktualizujeme.
