Gestionarea jurnalului

Managementul jurnalului (în engleză, log management , LM) indică setul de activități legate de colectarea și analiza datelor urmărite în mesajele jurnal ^[1] și reprezintă o înregistrare completă a evenimentelor care apar în orice context de securitate Informatică.

Descriere generala

Gestionarea jurnalelor este elementul cheie pentru toate companiile (constând din mai multe servere, aplicații și un număr infinit de instrumente și programe) pentru a înțelege ce s-a întâmplat sau ce se întâmplă în timp real. Un atac cibernetic atinge multe puncte din rețeaua corporativă și atacatorii lasă urme ale mișcărilor lor.

Gestionarea jurnalului este, prin urmare, o colecție de informații de la diferite sisteme cheie cu agregare centralizată într-un server de jurnal. Datele jurnalului sunt stocate, stocate pe termen lung și rotite pentru analize ulterioare. Acestea din urmă pot fi realizate făcând corelații între diversele informații, prin agregare și instrumente de raportare.

Scopul final ^[2] este deci securitatea IT , dar și suportul pentru operațiuni de sistem și de rețea (cum ar fi cele utile pentru un administrator de sistem sau administrator de rețea ) și, în cele din urmă, conformitatea cu reglementările guvernamentale specifice.

Analiza eficientă a volumelor mari de date jurnal are o serie de implicații, cum ar fi:

Sincronizare: diferitele sisteme trebuie să aibă ceasuri perfect sincronizate pentru a corela cu exactitate informațiile date de jurnale. De fapt, este esențial să cunoaștem ordinea temporală exactă a evenimentelor;
Volumele de date: pot ajunge la sute de gigaocteți pe zi pentru companiile mari;
Normalizare: jurnalele produse pot avea diferite formate. Procesul de normalizare este conceput pentru a oferi un rezultat comun pentru analiză din mai multe surse;
Frecvență: Frecvența cu care jurnalele sunt generate de dispozitive poate face dificilă colectarea și agregarea;
Adevăr: Evenimentele înregistrate pot să nu fie exacte. Acest lucru este deosebit de problematic în sistemele care efectuează detecții (cum ar fi detectarea intruziunilor);
Confidențialitate: procedurile de înregistrare țin evidența mișcărilor atacatorilor, dar și a angajaților companiei. Prin urmare, este necesar să fim atenți la respectarea noului Regulament general privind protecția datelor (GDPR).

Utilizatorii și utilizatorii potențiali de gestionare a jurnalelor pot achiziționa instrumente comerciale depline sau își pot crea propriile instrumente de gestionare a jurnalului și instrumente de informații prin asamblarea funcționalității din diferite componente open source sau prin achiziționarea de sisteme sau subsisteme de la furnizori comerciali. Gestionarea jurnalului este un proces complicat și organizațiile fac adesea greșeli în abordarea acestor probleme; ^[3]

Când vine vorba de gestionarea jurnalului, sunt adesea folosite două cuvinte care pot suna asemănător, dar care au semnificații diferite:

Activitatea de înregistrare poate fi definită ca toate datele care pot fi imediat aruncate în procesele tehnice ale aplicațiilor sau site-urilor web , adică date și intrări de utilizator.
Pe de altă parte, auditul se referă la date care nu sunt imediat aruncate. De fapt, datele colectate prin procesul de audit sunt stocate permanent, sunt protejate prin mecanisme de autorizare și sunt întotdeauna legate de unele cerințe funcționale pentru utilizatorul final.

Activitatea de jurnal produce informații utile pentru întreținerea aplicațiilor și a site-urilor web. Poate fi folosit pentru:

clasificați dacă o problemă raportată este considerată de fapt o vulnerabilitate
îmbunătăți analiza, redarea și depanarea
ajuta la testarea noilor caracteristici într-o etapă de dezvoltare

Proces funcțional

Arhitectura unui sistem de gestionare a jurnalelor poate fi reprezentată ca fiind compusă din cinci niveluri funcționale care intervin în ordine. Aceste niveluri funcționale sunt: ^[1]

Generarea jurnalului : acest prim nivel este responsabil pentru generarea datelor de jurnal în aplicațiile sau serviciile din partea clientului în sine și apoi le pune la dispoziție pentru stocare, la nivelul următor, prin rețea. În alte cazuri, serverul se autentifică cu computerul client și preia datele jurnalului.
Stocare jurnal : datele sunt salvate pe un server, de obicei în mod sistem în timp real sau programat. Jurnalele trebuie să conțină doar cele mai importante date și trebuie să aibă date consistente (cum ar fi tipul de timestamp utilizat).
Analiza jurnalului : de obicei se folosesc instrumente, care sunt deosebit de utile pentru găsirea de modele care nu ar fi atât de ușor analizate de ochiul uman. Analiza este definită ca fiind mai degrabă reactivă decât preventivă, de fapt scopul este de a identifica activitatea în desfășurare și de a căuta semne de probleme iminente.
Monitorizarea jurnalului : acest nivel conține consola, care este utilizată în principal pentru a monitoriza și revizui jurnalele, pentru a gestiona datele jurnalelor de pe clienți și servere , pentru a genera rapoarte și rezultate de analiză automată. Tipul autorizației de acces este limitat doar la funcțiile necesare.
Protecția jurnalului : pentru importanța datelor din jurnale este esențial să existe măsuri de securitate atât împotriva atacurilor externe, cât și împotriva erorilor interne.

Legislația italiană

Conform prevederilor stabilite prin decretul Garantului pentru protecția datelor cu caracter personal publicat în Monitorul Oficial 300 din 24 decembrie 2008 ^[4] , fiecare companie, după identificarea sistemelor ( dispozitive de rețea , baze de date , echipamente de securitate și sisteme complexe de software ) care conțin cele mai critice date trebuie să numească în primul rând administratorii, în cele din urmă trebuie să aibă un sistem de gestionare a jurnalelor care să poată urmări accesul operatorilor la dispozitivele și aplicațiile pe care le gestionează.

Acest sistem trebuie să păstreze datele în siguranță pentru o perioadă de cel puțin șase luni și trebuie să fie disponibil pentru consultare de către companie și autorități.

Notă

^ ^a ^b Karen Kent - Murugiah Souppaya, Ghid pentru managementul jurnalului de securitate , în NIST , SP, n. 800-92.
^ Utilizarea datelor jurnalului pentru o mai bună securitate , pe prismmicrosys.com , 12 august 2015 (arhivat din original la 28 decembrie 2014) .
^ Top 5 jurnal de erori - Ediția a doua , pe docstoc.com , 12 august 2015. Adus pe Docstoc.com .
^ Măsuri și precauții prescrise proprietarilor, tratamentelor efectuate cu instrumente electronice, în raport cu atribuțiile funcțiilor de administrator de sistem , pe www.privacy.it . Adus pe 14 iunie 2016 .

Elemente conexe

Portal IT : accesați intrările Wikipedia care se ocupă cu IT

[:0-1] Karen Kent - Murugiah Souppaya, Ghid pentru managementul jurnalului de securitate , în NIST , SP, n. 800-92.

[2] Utilizarea datelor jurnalului pentru o mai bună securitate , pe prismmicrosys.com , 12 august 2015 (arhivat din original la 28 decembrie 2014) .

[3] Top 5 jurnal de erori - Ediția a doua , pe docstoc.com , 12 august 2015. Adus pe Docstoc.com .

[4] Măsuri și precauții prescrise proprietarilor, tratamentelor efectuate cu instrumente electronice, în raport cu atribuțiile funcțiilor de administrator de sistem , pe www.privacy.it . Adus pe 14 iunie 2016 .

[1]

[2]

[3]

[4]