Keskitetty lokienhallinta ja SIEM tietoturvan tiedustelujoukkona

kirjoittaja | joulu 8, 2020 | Blogi, Tietoturva

Yksi asia on varmaa: IT-ympäristö rakentuu monista osista. IT-infran koneisto sisältää jos jonkinlaista mutteria sekä hammasratasta ja ne toimivat joko yhdessä tai erikseen. Mutta mitä tapahtuu, kun koneistossa jokin asia vikaantuu? Perinteisesti korjaustoimenpiteiden aikana lähdetään tutkimaan vikaantumisen syytä ja monesti se sisältää lokien läpikäyntiä. Tutkimustyön tuloksena yleensä löytää jotain viitteitä siitä, mikä oli vikaantumisen syy tai ainakin jonkin viestin juuri ennen osan hajoamista. Tämä pääasiassa sisältää laitteelle kirjautumista ja oikeiden lokien lukemista. Aika arkipäivää IT-ylläpidon puolella, eikö? Entä jos vikaantuminen tällä yhdellä laitteella onkin vaikuttanut johonkin toiseen laitteeseen? Tai useampaankin? Näille täytyy myös erikseen kirjautua ja tutkia mahdolliset vikatilanteet, jotka saattavat ilmetä vasta paljon myöhemmin alkuperäisen laitteen vikaantumisesta. Huomaatte varmaan, mihin tämä johtaa? Yksi tai useampi asiantuntija käyttää todella paljon aikaa pelkästään laitteiden etsimiseen, kirjautumiseen, oikeiden lokien etsimiseen ja mietintätyöhön siitä, mihin vika voisi vielä vaikuttaa.

Keskitetyllä lokienhallinnalla tarvittavat lokit saadaan suoraan lähetettyä järjestelmään, joka standardisoi ne ja näyttää kaikkien laitteiden lokit samassa virrassa. Yleensä nämä järjestelmät auttavat lokien lukemista luokittelemalla lokeista saatuja arvoja ja antamalla mahdollisuuden tehdä hakuja näiden luokitteluiden mukaan tai tehdä suodattimia haluttujen asioiden löytämistä varten. Eli sen sijaan, että asiantuntija käyttää aikaa kirjautumalla monelle eri laittelle ja etsimällä sieltä oikeat lokit, hän kirjautuukin yhteen järjestelmään ja saa sieltä kaiken tarvittavan tiedon koko ympäristöstä. Keskitetyssä hallinnassa havaitaan myös, mikäli vikatilanne onkin laajempi kuin arveltiin. Jos jokin hammasratas alkaa nikotella, samaan aikaan saattaa jokin mutteri löystyä ja kaikki tämä näkyy yhdistetyssä virrassa. Kaikki tämä auttaa myös ympäristön kehittämisessä entistä vikasietoisemmaksi ja tehokkaammaksi.

SIEM seuraa epäilyttävää toimintaa ja hälyttää siitä

IT-ympäristöjen monitorointi hälyttää ja kertoo siitä, mitä ympäristössä tapahtuu juuri tällä hetkellä kun taas lokienhallinnasta voidaan katsoa, mitä on aiemmin tapahtunut. SIEM yhdistää nämä asiat tietoturvan näkökulmasta: kun keskitettyyn lokienhallintaan kerätään tietoa koko ympäristöstä, voidaan SIEM-työkalulla analysoida sisäänotettua dataa ja reaaliaikaisesti analysoida, onko siinä mahdollisesti jotain epäilyttävää toimintaa tietoturvaan liittyen. Yleensä nämä työkalut antavat valmiin paketin sääntöjä, joiden perusteella lokeja analysoidaan, mutta asiantuntijat voivat itsekin rakentaa niitä. Esimerkiksi jos SSH-liikennettä tulee internetistä jollekin palvelimelle, voi SIEM-työkalu ilmoittaa tällaisesta toiminnasta heti kun se tapahtuu. Näin asiantuntija voi tehdä välittömästi toimenpiteitä tilanteen selvittämiseksi ja esimerkiksi sulkea yhteyden palvelimelle. Mikäli tässä ajassa potentiaalinen hyökkääjä ehtii tehdä jotain palvelimella, jää näistä kuitenkin merkintä lokienhallintaan ja asiantuntija saa tiedon, mitä on tarkalleen tapahtunut eikä hänen tarvitse olla vain arvailujen varassa. Näin yritys voi arvioida tilanteen kriittisyyden ja tehdä toimenpiteitä tarvittaessa.

 

Haluatko kuulla lisää aiheesta? Katso webinaaritallenne:
Keskitetty lokienhallinta ja SIEM ohjelmistoympäristön tietoturvassa

Kirjaudu katsoaksesi webinaaritallenteen


#Pilvessä-podcast | 6. Pilvipalveluiden tietoturva suurennuslasin alla
Teknisen tukipalvelumme joulunajan aukioloajat
#Pilvessä | Tekoäly – hypestä liiketoimintahyödyksi
#Pilvessä | Tekoäly – hypestä liiketoimintahyödyksi

Tässä jaksossa Timo Haapavuoren vieraana on Fujitsun Senior Sales Lead Samuli Kunttu ja luvassa on keskustelua tekoälystä. Missä vaiheessa yritykset menevät erilaisten tekoälysovellutusten kanssa? Miten taklata tekoälyratkaisuihin liitettävät merkittävät kustannukset?...

Miksi AI ei muutu hypestä liiketoimintahyödyksi?
Miksi AI ei muutu hypestä liiketoimintahyödyksi?

Viime ajat AI eli tekoäly on ollut meidän kaikkien huulilla. AI on varmasti tämän hetken merkittävin hype, jonka perässä ja nimissä haaveillaan, suunnitellaan ja tehdään projekteja, joilla pyritään kehittämään yritysten liiketoimintaa. Hetki sitten vielä tuntematon...

#Pilvessä | Energiatehokkaiden ohjelmistojen murros
#Pilvessä | Energiatehokkaiden ohjelmistojen murros

Uusi tuotantokausi starttaa ja paluun podcastin co-hostaajaksi tekee Kimmo Haapavuori. Kimmon vieraaksi on saapunut AtoZin toimitusjohtaja Mikko Leinonen.  Tässä jaksossa pureudutaan ohjelmistojen energiatehokkuuteen ja keskustellaan sen merkityksestä niin kuluttajan,...

<h6>Magic Cloud</h6>
Magic Cloud