17. märts 2019

Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

Tänapäeval salvestavad logisid enamik võrgus asuvaid seadmeid. Logid on sageli salvestatud seadmesse ja neid saab seadmes ka vaadata. Selleks et kogu võrgus toimuvast ülevaade saada, tuleb analüüsida paljude erinevate süsteemide logisid. Vähegi suurema võrgu puhul on see keeruline ja mõistliku ajakuluga peaaegu võimatu.

Siin tuleb appi spetsiaalne turbeinfo ja -sündmuste halduse lahendus SIEM (ingl security information and event management), mis võimaldab koguda eri allikates loodud logid ühte süsteemi, et saada ülevaadet ning analüüsida terviksüsteemis toimuvaid turvasündmusi ehk hallata logisid keskselt ja mugavalt. SIEM-il on peamiselt kaks eesmärki: pakkuda organisatsioonile keskset ja turvalist logimist ja raporteerimist ning aidata tuvastada, analüüsida ja pehmendada turvaintsidente.

SIEM kogub eri süsteemidest eri formaadis logisid ja salvestab need kas:

•originaalkujul (ingl raw log storage) mitteaktiivseks töötlemiseks, et võimaldada toimunut tagantjärele tõestada;

•normaliseeritud kujul aktiivseks töötlemiseks, et võimaldada logiandmeid analüüsida, näiteks neid omavahel seostada ja võrrelda.

Osal SIEM-i lahendustel on analüüsimoodul jagatud kaheks: reaalajalähedane analüüs ning ajalooliste andmete analüüs. Sellisel juhul töödeldakse reaalajalähedase analüüsi moodulis normaliseeritud andmeid, mis suurendab süsteemi jõudlust ja võimaldab probleemide korral õigel ajal süsteemihaldureid teavitada.

SIEM-il on mitmeid ärilisi eeliseid:

•suurem väärtus turbetehnoloogia investeeringutelt – SIEM võimaldab süsteemi turvalogide tõhusat kasutust, mis vabastab infoturbeanalüütikute tööaega sisuliseks tööks ja aitab tõsta esile infoturbesüsteemide tegelikku kasu.

•regulatsioonidele mittevastavuse riski vähenemine – SIEM-i kaudu on võimalik saada automaatselt raporteid erinevatele regulatsioonidele vastamise kohta (nt PCI DSS).

•suurem organisatsiooniline tugi infoturbele – SIEM-il on palju huvitatud pooli, kes peavad koos töötama, et hinnata ja töödelda SIEM-i loodud hoiatusi ja luua vajalikke vastavusaruandeid.

•varajane turbeintsidentide tuvastamine – korralikult seadistatud reaalajalähedase analüüsi mooduliga SIEM suudab varakult tuvastada ja anda hoiatusi võrgus toimuvate anomaaliate kohta, mis vajavad infoturbega tegelevate inimeste tähelepanu.

•SIEM võimaldab anda turbeanalüütikule ligipääsu logiandmetele, andmata ligipääsu süsteemidesse.

Tänapäevastel SIEM-i lahendustel on üldjuhul järgmised funktsioonid.

•Andmete kogumine ja koondamine – andmete kogumine erinevatest logiallikatest, kasutades eri logiallikatest sõltuvaid meetodeid.

•Andmete normaliseerimine – sama tüüpi andmete samasse formaati viimine ja ühtsesse andmebaasi salvestamine.

•Sündmuste korrelatsioon – funktsioon, mis seob erinevad sündmused hoiatuseks, näiteks mingis ajaraamis mitmes süsteemis toimunud sama tüüpi tegevused. Selleks on SIEM-il tavaliselt kaasas reeglite kogumikud, mida tootja regulaarselt uuendab.

•Teavitamine (ingl alerting) – funktsioon, mis võimaldab SIEM-il hoiatada haldajaid, kui sündmuste korrelatsioon tuvastab anomaaliaid SIEM-i sisse ehitatud või kasutaja seatud reeglibaasi põhjal.

•Aruandlus – SIEM-is on sageli hulk sisse ehitatud aruandeid (näiteks PCI DSS-i vastavusaruanded), samuti on kasutajal võimalik luua ja disainida endale sobivaid aruandeid.

•Kohtuekspertiis (ingl forensics) – SIEM-i kohtuekspertiisi funktsioon võimaldab otsida originaalsetest logiandmetest märke pahatahtlikest tegevustest või anomaaliatest.

•Keskne halduskonsool – põhiline kasutajaliides, mille kaudu jälgida sündmusi reaalajas ja teha logiandmete analüüsi ning luua raporteid.

SIEM-i juurutamine

SIEM-i juurutamiseks kasutatakse kahte meetodit.

1.Tehakse analüüs, mille tulemuste põhjal hangitakse ja seatakse üles SIEM-i lahendus.

2.Pannakse üles SIEM-i lahendus, lisatakse sinna kõikvõimalike seadmete logide andmed ja vaadatakse, mis saama hakkab.

Esimese meetodi puhul on võimalus õnnestuda ja SIEM-ist kasu saada palju suurem, mistõttu on järgmiseks esitatud juurutamise soovitused esimese meetodi põhjal.

Pikemalt saab lugeda IT juhtimise teabevara uuest peatükist 2.4.6. Turvateabe ja -sündmuste haldus – SIEM. Edasi saab täpsemalt teada, millised tegevused tuleb ette võtta SIEM-i kasutusele võttes, riskidest, SIEM-i funktsionaalsusest ja auditlogidest.

Artikkel ilmus Äripäeva Teabekeskuse väljaandes IT juhtimine.

Põhjalik ülevaade infotehnoloogia võimalustest ja otstarbeka rakendamise põhimõtetest. Kui vastutate ettevõtte strateegia ja investeeringute eest, siis saate põhjaliku info IT-valdkonna praktilisest poolest ning teete tulemuslikke juhtimisotsuseid.

Aastalitsentsiga saate

•ligipääsu igal kuul uuenevale teabevarale

•kasutada e-nõuandekeskust

•lisavõimalusena paberväljaande ja selle täiendused kord kvartalis

•e-uudiskirja Õigusuudised 10 korda aastas