Tukinhallinnan parhaat käytännöt ja järjestelmät

Lokien hallinta voi olla monimutkainen yritys. Tyypillinen organisaatio ei vain tuottaa niistä tonnia, vaan ne ovat peräisin useista lähteistä, joista jokaisella on mahdollisesti erilainen muoto ja joka sisältää erilaista tietoa. Luodaan jonkinlainen järjestys jotain, joka voi nopeasti muuttua kaoottiseksi, keksittiin lokinhallinta. Tänään tarkastelemme lokinhallinnan parhaita käytäntöjä ja järjestelmiä. Toivomme, että se auttaa sinua näkemään tämän selvästi.

Aloitamme lyhyellä kuvauksella lokien hallinnasta. Sitten sukellamme heti lokinhallinnan parhaisiin käytäntöihin. Tutkimme, kannattaako käyttää valmista järjestelmää vai tee se itse. Tarkastellaan myös sitä, mitä - ja mitä ei - seurata, mitä seuraa lokien turvallisuus ja säilyttäminen sekä tallennusnäkökohdat. Ja ennen kuin tarkistamme joitain parhaista lokinhallintajärjestelmistä, katsotaan eri hallintaa tehtävät, lokien tarkistaminen ja ylläpito, tietolähteiden korrelaatio ja automaatio näkökohdat.

Tietoja lokien hallinnasta

Yksinkertaisesti määritelty loki on automaattisesti tuotettu ja aikaleimattu dokumentaatio tapahtumasta, joka liittyy tiettyyn järjestelmään. Kun tapahtuma tapahtuu järjestelmässä, loki - tai lokimerkintä - luodaan. Eri järjestelmät tuottavat lokit eri tapahtumille. Lokin hallintaan, se viittaa yleensä prosesseihin ja käytäntöihin, joita käytetään hallinnoida ja helpottaa lokitietojen tuottamista, lähettämistä, analysointia ja tallentamista. Lokien hallinta tarkoittaa yleensä keskitettyä järjestelmää, jossa useista lähteistä peräisin olevat lokit yhdistetään.

Lokien hallinta ei kuitenkaan ole vain lokien kokoaminen. Kuten nimestä voi päätellä, johdon osa on tärkeä. Kun lokien hallintajärjestelmä on vastaanottanut lokit, ne ”käännetään” yhteiseen muotoon. Se on välttämätöntä, koska eri järjestelmät muotoilevat lokit eri tavalla ja sisällyttävät lokiinsa erilaisia ​​tietoja. Etsinnän ja tapahtumien korreloinnin helpottamiseksi yksi lokinhallintajärjestelmien tarkoitus on varmistaa, että kaikki kerätyt lokitiedot tallennetaan yhtenäisessä muodossa.

Etsimisestä ja jopa korrelaatiosta puhuttaessa, tämä on toinen tärkeä ominaisuus useimmissa lokinhallintajärjestelmissä. Parhaissa lokinhallintajärjestelmissä on tehokas hakukone. Se antaa järjestelmänvalvojille nolla-aseman juuri siinä, mitä tarvitaan. Lisäksi tapahtumikorrelaatio ryhmittelee liittyvät tapahtumat automaattisesti, vaikka ne olisivat peräisin eri lähteistä.

Tukinhallinnan parhaat käytännöt

Lokien hallinta on monimutkainen prosessi, emme voi tehdä siinä paljon. Tämän monimutkaisuuden seurauksena on riski tehdä se väärin. Tämän välttämiseksi olemme laatineet luettelon parhaista lokinhallinnan käytännöistä. Tavoitteenamme on antaa sinulle mahdollisimman paljon tietoa voidaksesi valita parhaan lokinhallintajärjestelmän tarpeitasi varten, ja mikä tärkeintä, saadaksesi siitä kaiken hyödyn.

Lokinhallintajärjestelmä tai DIY?

Jostain syystä jotkut ihmiset uskovat pystyvänsä ottamaan manuaalisesti käyttöön "lokinhallintajärjestelmän". Jos olet näiden ihmisten joukossa, lopeta heittäminen itseäsi heti. Vaikka se on mahdollista toteuttaa jonkinlainen muoto lokinhallinnan manuaalisesti vaaditut ponnistelut ovat huomattavasti suuremmat kuin todellisen lokinhallintajärjestelmän toteuttaminen. Ja koska käytettävissä on useita ilmaisia ​​ja avoimen lähdekoodin työkaluja, kustannusväite ei ole oikea.

On melkein aina järkevää käyttää hallittua kirjausratkaisua, jonka hyvämaineinen toimittaja rakentaa, tukee ja skaalaa, sen sijaan, että rakentaisit itse järjestelmääsi. Niiden kanssa sinun tarvitsee vain yhdistää lähteet ja määränpäät ja olet valmis analysoimaan järjestelmä- ja sovelluslokeja helposti. Voit käyttää vapaasti enemmän aikaa seurantaan ja kirjautumiseen sen sijaan, että rakentaisit hakkuusi infrastruktuuria.

Tietäminen mitä seurata (ja mitä ei)

Tietäminen mitä kirjata on tärkeätä, mutta on vielä tärkeämpää tietää mitä ei kirjautua. Se, että voit kirjautua jotain, ei välttämättä tarkoita, että sinun pitäisi. Liian monta kirjaamista ei muuta kuin vaikeuttaa tosiasiallisesti tärkeiden tietojen löytämistä. Lisäksi lokien lisämäärä lisää monimutkaisuutta ja kustannuksia lokien tallennus- ja hallintaprosesseihin. Ennen lokinhallintajärjestelmän käyttöönottoa on tärkeää miettiä eteenpäin mitä tulee ja mitä ei kirjata. Se estää kalliita virheitä ja antaa sinun parantaa työkalusi kokoa.

Mieti huolellisesti mitä sinun tosiasiallisesti tarvitse kirjautua. Tuotantoympäristöt, jotka ovat kriittisiä noudattamisen tai auditointitarkoitusten kannalta, pitäisi todennäköisesti kirjata. Niin pitäisi myös tiedot, jotka auttavat vianmäärityksessä suorituskykyongelmien ratkaisemiseksi, käyttökokemusongelmien ratkaisemiseksi tai tietoturvaan liittyvien tapahtumien seuraamiseksi.

Päinvastoin, on juttuja, joita sinun ei tarvitse kirjautua, kuten esimerkiksi testiympäristöjä, jotka eivät ole olennainen osa liiketoimintaprosessejasi. On myös tietoja, joita et halua kirjautua noudattamisen tai turvallisuussyistä. Esimerkiksi, jos käyttäjä on ottanut käyttöön raidan tekemättä jättämisen -asetuksen, sinun ei pitäisi kirjata kyseiseen käyttäjään liittyviä tietoja.

Lokiturva- ja säilytyskäytäntöjen toteuttaminen

Lokit voivat sisältää arkaluontoisia tietoja. Tästä syystä sinulla on oltava lokin suojauskäytäntö. Se on korvaamaton esimerkiksi varmistamalla, että arkaluontoiset tiedot anonyymit tai salataan. Lokitietojen turvallinen siirtäminen lokinhallintajärjestelmiin edellyttää myös salatun siirron käyttöä TLS: n tai HTTPS: n avulla asiakkaan ja palvelimen puolella.

Säilytyskäytännössä eri lähteistä tai järjestelmistä peräisin olevat lokit saattavat tarvita erilaisia ​​säilytysaikoja. Esimerkiksi lokit, joita käytetään pääasiassa vianmääritykseen, voivat toimia suhteellisen lyhyillä retentioajoilla, kuten muutamalla päivällä tai jopa muutamalla tunnilla. Toisaalta tietoturvaan liittyvät lokit tai yritystapahtumalokit vaativat pidempiä säilytysaikoja, usein säännösten noudattamiseksi. Tämän huomioon ottaen säilytyskäytäntösi tulisi olla joustava ja mukautettava lokin lähteestä tai lokin tyypistä riippuen.

Lokien varastointiin liittyvät näkökohdat

Lokitietojen pitäminen vie arvokasta tallennustilaa. Lokien säilytyskapasiteettia suunnitellessasi on otettava huomioon korkeat kuormituspiikit. Suurimmassa osassa tapaa lokitietojen määrä päivässä on suhteellisen vakio. Se riippuu pääasiassa järjestelmän käytöstä ja / tai tapahtumien lukumäärästä päivässä. Kun jokin menee pieleen, voit kuitenkin odottaa lokin määrän nopeutunutta kasvua. Jos lokitiedostosi rajat ylittävät, saatat menettää viimeisimmät lokit. Tämän vaikutuksen lieventämiseksi parhaissa lokinhallintajärjestelmissä käytetään syklistä puskuria. Se poistaa vanhimmat tiedot ensin ennen tallennusrajojen asettamista.

Lokien varastoinnilla tulisi myös olla oma tietoturvakäytäntö. Useimmat hyökkääjät yrittävät välttää tai poistaa jälkiä lokitiedostoissa. Välttääksesi tämän, sinun tulee lähettää lokit reaaliajassa keskuslokivarastoon - mieluiten muualle kuin alueelle - ja suojata se. Siten, jos hyökkääjällä on pääsy infrastruktuurisi ulkopuolisiin lokiin, näytöt pysyvät vaikeina.

Lokien tarkistaminen ja ylläpitäminen

Lokien ylläpito on tärkeä osa lokin hallintaa, ellei tärkein osa. Ylläpitämättömät lokit voivat johtaa pidempään vianetsintään, tietoihin kohdistuviin riskeihin ja korkeampiin lokien tallennuskustannuksiin. Tarkista järjestelmien tuottamat lokit ja säädä lokitustaso tarpeidesi mukaan. Sinun tulisi harkita käytettävyyttä, operatiivisia ja turvallisuusnäkökohtia.

Tee lokitaso konfiguroitavissa

Jotkin järjestelmälokit ovat liian sanallisia, kun taas toiset eivät tarjoa tarpeeksi tietoa. Valitettavasti siihen ei aina voida tehdä mitään. Suurin osa järjestelmistä tarjoaa säädettävän lokitason. Ne ovat avain lokien todenmukaisuuden määrittämiseen ja sen varmistamiseen, että lokit on ja mikä ei ole tärkeää, ei ole.

Tarkasta tarkastuslokeja usein

Turvallisuusasioissa toimiminen on ensiarvoisen tärkeää. Tästä syystä tukkeihin tulisi aina olla tarkkana. Jos lokinhallintajärjestelmässäsi ei ole tätä ominaisuutta - monet heistä tekevät, käytä ulkoisia suojaustyökaluja, kuten auditd tai OSSEC. Ne toteuttavat reaaliaikaisen lokianalyysin ja tuottavat hälytyslokeja, jotka osoittavat mahdollisiin turvallisuusongelmiin. Ja lisäksi sinun tulisi määritellä hälytykset kriittisistä tapahtumista, jotta heille ilmoitetaan nopeasti kaikista epäilyttävistä toimista.

Korrelaatio tietolähteet

Metsätalous on vain yksi osa globaalia seurantastrategiaa. Todella tehokkaan seurannan varmistamiseksi sinun on täydennettävä lokinhallintaa muun tyyppisellä seurannalla, kuten tapahtumiin, hälytyksiin ja jäljitykseen perustuvalla seurannalla. Se on paras tapa saada kokonaiskuva siitä, mitä tapahtuu milloin tahansa. Vaikka lokit tarjoavat teräväpiirtoisia yksityiskohtia asioista, tämä on hyödyllistä, kun katsot metsää ennen puiden zoomaamista hiukan etäisyyttä.

Lokin hallinta ei toimi siilossa hyvin. Mikään ei tee. Sinun pitäisi ehdottomasti täydentää sitä muun tyyppisellä seurannalla, kuten verkonvalvonnalla, infrastruktuurin valvonnalla ja muilla. Ja ihanteellisessa maailmassa seurantaratkaisusi tulisi olla riittävän kattava tarjoamaan kaikki seurantatiedot yhdessä paikassa. Vaihtoehtoisesti se voisi integroitua muihin työkaluihin, jotka tarjoavat tätä tietoa. Tavoitteena on saada mahdollisimman paljon yhden ruudun näkymä koko ympäristöstä.

Lokien hallinta ja automaatio

Lokin hallinta voi auttaa sinua löytämään ongelmat varhaisessa vaiheessa, mikä säästää sinulle ja joukkueellesi arvokasta aikaa ja energiaa. Se voi myös auttaa sinua löytämään mahdollisuuksia automatisointiin. Useimpien lokinhallintatyökalujen avulla voit määrittää mukautettuja hälytyksiä, jotka laukaisevat, kun jotain tapahtuu. Jotkut jopa antavat sinun määrittää automatisoidut toimet, jotka aloitetaan, kun nämä hälytykset laukaistavat. Sinun tulisi käyttää niin paljon automaatiota kuin hallintatyökalusi sallii. Huolimatta ajasta, jonka vietät tämän automaation asentamiseen, huomaat, että se oli sen arvoista, kun kohtaat tapauksen ensimmäisen kerran.

Kuusi suosituinta lokinhallintatyökalua

Olemme hankkineet markkinoita yrittäessään löytää parhaan lokinhallintatyökalun. Yritimme koota luettelon, joka sisältää erityyppisiä työkaluja. Loppujen lopuksi kaikkien tarpeet ovat erilaisia ​​ja paras työkalu yhdelle ei välttämättä ole paras jollekin toiselle.

SolarWinds on yleinen nimi verkonhallintatyökalujen alalla. Se on ollut olemassa jo noin kaksi vuosikymmentä, ja se on tuonut meille joitain parhaista kaistanleveyden tarkkailun työkaluista sekä NetFlow-analysaattoreista ja -keräimistä. Yhtiö on myös tunnettu julkaisemasta useita ilmaisia ​​työkaluja, jotka vastaavat tiettyihin verkonvalvojien erityistarpeisiin, kuten aliverkon laskin tai syslog-palvelin.

Lokien hallinnassa yrityksen tarjoama nimi on nyt SolarWinds-tietoturvatapahtumien hallintaohjelma. Se on äskettäin nimetty uudelleen Lokien ja tapahtumien hallinta, todennäköisesti paremmin heijastamaan sitä tosiasiaa, että tämä on oikeastaan ​​paljon enemmän kuin vain lokinhallintajärjestelmä. Monet sen edistyneistä ominaisuuksista asettavat sen turvallisuustietojen ja tapahtumien hallinnan (SIEM) alueelle. Sillä on esimerkiksi reaaliaikainen tapahtumikorrelaatio ja reaaliaikainen korjaus, kaksi SIEM-tyyppistä ominaisuutta.

• ILMAINEN KOKEILU: SolarWinds Security Event Manager
• Virallinen latauslinkki: https://www.solarwinds.com/security-event-manager/registration

Katsotaanpa joitain niistä SolarWinds-tietoturvatapahtumien hallintaohjelmaTärkeimmät ominaisuudet. Työkalu voi poistaa uhat nopeasti käyttämällä epäilyttävän toiminnan välitöntä havaitsemista ja automatisoituja vastauksia. Se voi myös suorittaa tietoturvatapahtumien tutkinnan ja rikostutkinnan lieventämiseksi ja noudattamiseksi. Ja puhuttaessa vaatimustenmukaisuudesta, tuotteen avulla voit osoittaa sen, muun muassa HIPAA: n, PCI DSS: n ja SOX: n auditoidun raportoinnin ansiosta. Tällä työkalulla on myös tiedostojen eheyden valvonta ja USB-laitteiden valvonta, kaksi ominaisuutta, jotka ovat huomattavasti korkeammat kuin mitä lokien hallintajärjestelmissä yleisesti näemme.

Hinnat SolarWinds-tietoturvatapahtumien hallintaohjelma alkaa 4585 dollarista jopa 30 valvotulle solmulle. Enintään 2500 solmun lisenssejä voi ostaa, mikä tekee tuotteesta erittäin skaalautuvan. Ja jos haluat varmistaa käytännössä, että tuote sopii sinulle, ilmainen, monipuolinen 30 päivän kokeiluversio on käytettävissä.

Toiseksi meillä on toinen hieno tuote nimeltään Papertrail, äskettäinen yritysosto SolarWinds. Papertrail on suosittu pilvipohjainen lokinhallintajärjestelmä. Se yhdistää lokitiedostot monista suosituista tuotteista, kuten Apache tai MySQL, sekä Ruby on Rails -sovelluksista, erilaisista pilvipalveluista ja muista tavallisista tekstitiedostoista. Papertrail käyttäjät voivat sitten käyttää verkkopohjaista hakuliittymää tai komentorivityökaluja etsiäksesi näitä tiedostoja vikojen ja suorituskykyongelmien diagnosoimiseksi. Työkalu integroituu myös muihin SolarWinds tuotteita, kuten Librato ja Geckoboard tulosten piirtämiseen.

• SAATAVAA ILMAINEN SUUNNITELMA: SolarWinds Papertrail
• Virallinen latauslinkki: https://papertrailapp.com/plans

Papertrail on pilvipohjainen ohjelmisto palveluna (SaaS), joka tarjoaa SolarWinds. Se on helppo toteuttaa, käyttää ja ymmärtää. Ja se antaa sinulle välittömän näkyvyyden kaikissa järjestelmissä muutamassa minuutissa. Työkalulla on erittäin tehokas hakukone, joka voi etsiä sekä tallennettuja että suoratoistolokeja. Ja se on salamannopea.

Papertrail on saatavana useina suunnitelmina, mukaan lukien ilmainen suunnitelma. Se on kuitenkin jonkin verran rajallinen, ja sallii vain 100 Mt lokit joka kuukausi. Se kuitenkin salli 16 Gt lokit ensimmäisen kuukauden aikana, mikä vastaa ilmaisen 30 päivän kokeilujakson antamista. Maksetut suunnitelmat alkavat 7 dollaria kuukaudessa 1 Gt / kuukausi lokitiedoista, yhden vuoden arkiston ja yhden viikon hakemiston. Melun suodatus antaa työkalulle mahdollisuuden säilyttää tiedot tallentamatta turhia lokit.

3. ManageEngine EventLog -analysaattori

ManageEngine, toinen yleinen nimi verkonvalvojien kanssa, tekee loistavasta lokinhallintajärjestelmästä nimeltään ManageEngine EventLog -analysaattori. Tuote kerää, hallitsee, analysoi, korreloi ja etsii yli 700 lähteen lokitiedot yhdistelmällä agenttittomia ja agenttipohjaisia ​​lokikokoelmia sekä lokien tuontia.

Nopeus on yksi ManageEngine EventLog -analysaattoriVahvuus. Se voi käsitellä lokitietoja vaikuttavalla 25 000 lokilla sekunnissa ja havaita hyökkäyksiä reaaliajassa. Se voi myös suorittaa nopean oikeuslääketieteellisen analyysin rikkomuksen vaikutusten vähentämiseksi. Järjestelmän auditointimahdollisuudet ulottuvat verkon kehälaitteiden lokiin, käyttäjän toimintoihin, palvelintilien muutoksiin, käyttäjän käyttöoikeuksiin ja muuhun, mikä auttaa sinua vastaamaan turvallisuustarkastuksen tarpeisiin.

ManageEngine EventLog -analysaattori on saatavana ominaisuuksilla vähennetyssä ilmaisessa versiossa, joka tukee vain viittä lokilähdettä, tai premium-versiossa, joka alkaa 595 dollarista ja vaihtelee laitteiden ja sovellusten määrän mukaan. Saatavana on myös ilmainen, monipuolinen 30 päivän kokeiluversio.

4. Ipswitch Log Management Suite

Lokinhallintaohjelma on tuote Ipswitch, sama yritys, joka toi meidät WhatsUp kulta, erittäin suosittu verkonvalvontatyökalu. Tämä on automatisoitu työkalu, joka kerää, tallentaa, arkistoi ja tallentaa järjestelmälokit, Windows-tapahtumat ja W3C / IIC-lokit. Lisäksi sen jatkuva lokivalvonta ilmoittaa sinulle epäilyttävistä toimista.

Usein tarkastettuja tapahtumia, kuten käyttöoikeuksia sekä tiedosto-, kansio- ja objektioikeuksia, voidaan seurata, tuottaa hälytyksiä tarpeen mukaan ja niitä käytetään HIPAA: n, SOX: n, FISMA: n, PCI: n, MiFID: n tai Basel II: n vaatimustenmukaisuusraporttien laatimiseen noudattamista. Työkalu voi myös auttaa sinua muuttamaan raakat lokitiedot merkityksellisiksi tiedoiksi johtajille tai tietoturvaryhmille automaattisen suodatus-, korrelointi-, raportointi- ja muuntamisominaisuuksien ansiosta.

Hinnoittelutiedot Lokinhallintaohjelma ei ole helposti saatavana osoitteesta Ipswitch. Tuotteen voi ostaa joko suoraan kustantajalta tai kautta IpswitchJälleenmyyjäverkosto. Saatavana on myös ilmainen kokeiluversio.

5. Hälytyslogiikan hallinta

HälytyslogiikkaPääpaino on turvallisuudessa ja vaatimustenmukaisuudessa. Ja koska tukin hallinta liittyy läheisesti molempiin, ei ole yllättävää, että yritys tarjoaa Hälytyslogiikan hallinta. Tämä pilvipohjainen työkalu tarjoaa automatisoidun ja yhtenäisen lokien hallinnan kaikissa ympäristöissäsi. Se kerää, yhdistää ja hakee lokitietoja pilvestä, palvelimesta, sovelluksista, tietoturvasta ja verkkoresursseista.

Hälytyslogiikan hallinta sisältää lokien seurannan ja analysoinnin sekä loki-tarkastelun, jonka tekevät ihmisanalysaattorit. HälytyslogiikkaAsiantuntijat ilmoittavat mahdollisesta uhkatoiminnasta 365 päivää vuodessa. Palvelu auttaa myös täyttämään SOC 2: n, HIPAA: n ja SOX: n lokien tarkistusvaatimukset ja poistamaan lokien tarkistamisen ja tapahtumien seurannan taakan noudattamaan PCI / DSS 10.6, 10.6.1, 10.6.3

Hinnoittelutiedot Hälytyslogiikan hallinta ei ole helposti saatavana verkosta, ja sinun on otettava yhteyttä Hälytyslogiikka myynti virallisen tarjouksen saamiseksi. Ilmaista kokeilua ei myöskään ole saatavana, mutta ilmainen esittely voidaan järjestää ottamalla yhteyttä Hälytyslogiikka.

6. Nagios-lokipalvelin

Saatat jo tietää Nagios erinomaisena verkonvalvontapaketina. Tuotteella on hyvä maine, koska se tarjoaa ilmaisen ja avoimen lähdekoodin sekä kaupallisen version. Lokinhallintaa varten Nagios'Tarjoamista kutsutaan Nagios-lokipalvelin. Se on täydellinen paketti, jossa on keskitetty lokien hallinta, seuranta ja analysointi. Tämä työkalu voi yksinkertaistaa lokitietojesi hakua. Sen avulla voit myös asettaa hälytyksiä ilmoitettaviksi mahdollisista uhista. Lisäksi ohjelmistolla on korkea käytettävyys ja epäonnistuvuus sisäänrakennettu suoraan siihen. Sen helpon lähteen asennusvelhojen avulla voit määrittää palvelimet ja muut laitteet lähettämään lokitiedot alustalle, jolloin lokit voidaan seurata muutamassa minuutissa.

Nagios-lokipalvelin tarjoaa loki-tapahtumien korreloinnin helposti kaikilla kirjauslähteillä vain muutamalla napsautuksella. Järjestelmä antaa sinun tarkastella lokitietoja reaaliajassa, antamalla analysoida ja ratkaista ongelmia reaaliajassa, kun ne ilmenevät. Tuotteen toinen vahvuus on sen vaikuttava skaalautuvuus. Tämä työkalu vastaa tarpeitasi organisaation kasvaessa. Tarvittaessa lisä Nagios-lokipalvelin ilmentymiä voidaan lisätä seurantaklusteriin, jolloin voit lisätä nopeasti enemmän virtaa, nopeutta, tallennustilaa ja luotettavuutta.

Kaikilla näillä ominaisuuksilla voitaisiin odottaa mojova hintamerkki. Kyse ei ole asiasta ja yhden instanssin hinta Nagios-lokipalvelin on erittäin kohtuullinen 3 995 dollaria. Siitä huolimatta, että se ei tarjoa ilmaista kokeiluversiota, ilmainen online-esittely on saatavana, jos haluat mieluummin katsoa tuotetta ensi käden kautta ennen ostopäätöksen tekemistä.