Logid ja logimine 2. osa – SIEM

Tänapäeval salvestavad logisid enamik võrgus asuvaid seadmeid. Logid on sageli salvestatud seadmesse ja neid saab seadmes ka vaadata. Selleks et kogu võrgus toimuvast ülevaade saada, tuleb analüüsida paljude erinevate süsteemide logisid. Vähegi suurema võrgu puhul on see keeruline ja mõistliku ajakuluga peaaegu võimatu.

Siin tuleb appi spetsiaalne turbeinfo ja -sündmuste halduse lahendus SIEM (ingl security information and event management), mis võimaldab koguda eri allikates loodud logid ühte süsteemi, et saada ülevaadet ning analüüsida terviksüsteemis toimuvaid turvasündmusi ehk hallata logisid keskselt ja mugavalt. SIEM-il on peamiselt kaks eesmärki: pakkuda organisatsioonile keskset ja turvalist logimist ja raporteerimist ning aidata tuvastada, analüüsida ja pehmendada turvaintsidente.

SIEM kogub eri süsteemidest eri formaadis logisid ja salvestab need:

  • originaalkujul (ingl raw log storage) mitteaktiivseks töötlemiseks, et võimaldada toimunut tagantjärele tõestada;
  • normaliseeritud kujul aktiivseks töötlemiseks, et võimaldada logiandmeid analüüsida, näiteks neid omavahel seostada ja võrrelda.

Osal SIEM-i lahendustest on analüüsimoodul jagatud kaheks: reaalajalähedane analüüs ning ajalooliste andmete analüüs. Sellisel juhul töödeldakse reaalajalähedase analüüsi moodulis normaliseeritud andmeid, mis suurendab süsteemi jõudlust ja võimaldab probleemide korral õigel ajal süsteemihaldureid teavitada.

SIEM-il on mitmeid ärilisi eeliseid

  • Suurem väärtus turbetehnoloogia investeeringutelt – SIEM võimaldab süsteemi turvalogide tõhusat kasutust, mis vabastab infoturbeanalüütikute tööaega sisuliseks tööks ja aitab tõsta esile infoturbesüsteemide tegelikku kasu.
  • Regulatsioonidele mittevastavuse riski vähenemine – SIEM-i kaudu on võimalik saada automaatselt raporteid erinevatele regulatsioonidele vastamise kohta (nt PCI DSS).
  • Suurem organisatsiooniline tugi infoturbele – SIEM-il on palju huvitatud pooli, kes peavad koos töötama, et hinnata ja töödelda SIEM-i loodud hoiatusi ja luua vajalikke vastavusaruandeid.
  • Varajane turbeintsidentide tuvastamine – korralikult seadistatud reaalajalähedase analüüsi mooduliga SIEM suudab varakult tuvastada ja anda hoiatusi võrgus toimuvate anomaaliate kohta, mis vajavad infoturbega tegelevate inimeste tähelepanu.
  • SIEM võimaldab anda turbeanalüütikule ligipääsu logiandmetele, andmata ligipääsu süsteemidesse.

Tänapäevastel SIEM-i lahendustel on üldjuhul järgmised funktsioonid

  • Andmete kogumine ja koondamine – andmete kogumine erinevatest logiallikatest, kasutades eri logiallikatest sõltuvaid meetodeid. Andmete normaliseerimine – sama tüüpi andmete samasse formaati viimine ja ühtsesse andmebaasi salvestamine.
  • Sündmuste korrelatsioon – funktsioon, mis seob erinevad sündmused hoiatuseks, näiteks mingis ajaraamis mitmes süsteemis toimunud sama tüüpi tegevused. Selleks on SIEM-il tavaliselt kaasas reeglite kogumikud, mida tootja regulaarselt uuendab.
  • Teavitamine (ingl alerting) – funktsioon, mis võimaldab SIEM-il hoiatada haldajaid, kui sündmuste korrelatsioon tuvastab anomaaliaid SIEM-i sisse ehitatud või kasutaja seatud reeglibaasi põhjal. Aruandlus – SIEM-is on sageli hulk sisse ehitatud aruandeid (näiteks PCI DSS-i vastavusaruanded), samuti on kasutajal võimalik luua ja disainida endale sobivaid aruandeid.
  • Kohtuekspertiis (ingl forensics) – SIEM-i kohtuekspertiisi funktsioon võimaldab otsida originaalsetest logiandmetest märke pahatahtlikest tegevustest või anomaaliatest.
  • Keskne halduskonsool – põhiline kasutajaliides, mille kaudu jälgida sündmusi reaalajas ja teha logiandmete analüüsi ning luua raporteid.

 

Artikkel on täisulatuses avaldatud Äripäeva Teabekeskuse IT-juhtimise teabevaras https://teabevara.ee/et/it-juhtimine
Artikkel annab ülevaate SIEM-ist:

  • SIEM-i juurutamine ja vajalikud tegevused juurutamisel;
  • peamised riskid SIEM-i kasutuselevõtul ja võimalikud maandusmeetmed.