Kui otsida ühte head logihalduskeskkonda, siis tuleks pöörata tähelepane järgmisetele olulistele funktsioonidele: logide grupeerimine, normaliseerimine (kategoriseerimine), korreleerimine ja automaatsete tegevuste teostamine. Võimekus, ilma milleta on keskne logide administreerimine oluliselt keerulisem ja raskemini hallatavam. Järgnevalt vaatame loetletud funktsionaalsust lähemalt ühe logihalduskeskkonna näitel.
Ühesugused logid, mis on kindla ajaperioodi peale kokku liidetud. Näiteks meil on 5 minuti jooksul tehtud 46 ebaõnnestunud sisselogimise katset ühest seadmest ühe kasutajaga ühte serverisse. Logihalduses kuvatakse 46 üksiku kirje asemel ühte kirjet, kuna ainukene muutuv parameeter on aeg. Kasutajanimi, seadme ja serveri IP aadressid ei muutunud.
Kui meil on miljoneid kirjeid, siis logide normaliseerimine annab meile kiirelt ülevaate, mis tüüpi sündmustega on meil tegemist. Allpool näide logide normaliseerimisest ehk kategooriatesse jaotamisest.
Logid on grupeeritud erinevatesse kategooriatesse: võrguühendused, rakendused, autentimised, pahavara, süsteemilogid, kahtlased tegevused, jne. Siit on võimalik kiirelt valida huvipakkuv kategooria ja analüüsida ainult olulisi sündmuseid. Allolevas näites on paari hiireklikiga miljonitest kirjetest välja valitud üks konkreetne korreleeritud logisündmus ning kasutaja on süvenenud selle detailidesse.
Logide korreleerimise ehk mustrite otsimise all mõeldakse kindlatele reeglitele vastavate sündmuste kirjeldamist ja nende leidmist töödeldud logide hulgast. Mustrid võivad olla lihtsad (näiteks jõuründed, brute-force attacks) või keerulisemad (administraatori gruppi kuuluv kasutaja logib töövälisel ajal sisse kriitilise tähtsusega serverisse ja lisab uue kasutajakonto ning kustutab logid).
Näide korreleeritud logidest.
Lihtsam näide: jõuründe tuvastamine.
Keerukam näide: meepoti IP pealt tulev liiklus kuulub kategooriasse „Dos, Exploit, Malware, Recon, Suspicious Acitivity“ või Meepoti IP poole minev liiklus kuulub kategooriasse „Network Access, Authentication, Dos, Exploit, Malware, Policy, Recon, Suspicious Activity, System“. Kui juhtub üks või teine sündmus, siis logitakse maha korrelatsioonisündmus „Suspicious – Honeypot Acitvity Detected“.
Logihalduskeskkond peab võimaldama ka tegevuste automatiseerimist. Olgu nendeks siis teavituste saatmine, käskude edastamine teistesse serveritesse, väljavõtete koostamine ja edastamine või ohtlike arvutite (või IP-de, domeenide, jne) nimekirjade uuendamine. Paljud logihalduskeskkonnad suudavad ka suhelda otse erinevate tulemüüride, IPS-de (ründetõrjesüsteemide) ja antiviirustarkvara halduskeskkondadega, et arvuteid automaatselt skaneerida, IP-sid või domeene blokeerida või teostada muid olulisi tegevusi administraatori sekkumiseta.
Näide olulise sündmuse peale loodud teavituse puhul teostatavatest lisategevustest.
Näites logitakse sündmus täiendavalt maha, kuvatakse visuaalselt teavitust, saadetakse teavitus grupile „Alert – SecSoft“, koostatakse raport, lisatakse arvutile märgistus läbi antiviirustarkvara keskhalduse (Assign tag with ePO (McAfee Epolicy orchestrator)) ning lisatakse lähte- või siht IP aadress musta nimekirja (ründetõrjeseadmes).
Kõik need funktsioonid – grupeerimine, normaliseerimine, korreleerimine ja automatiseerimine – iseloomustavad ühte head ja korralikku logihalduskeskkonda. Kõik ülaltoodud näited olid toodud SIEM (Security Incident and Event Management – turvateabe ja -sündmuste haldus) lahenduse baasil. Kui Te otsite omale lihtsamat lahendust, siis enamik neist funktsioonidest peaksid seal ikkagi olemas olema.
Iga kord, kui ettevõte kaotab kümneid või sadu tuhandeid eurosid petuarvete, võltsitud maksekorralduste või ärikirjapettuse tõttu, kasutatakse sama väljendit: “langeti küberrünnaku ohvriks.” Ehk oleks aeg rääkida ausalt: tegu ei olnud tehniliselt keeruka rünnakuga, vaid rünnak algas hästi üles ehitatud manipulatsiooniga, mille eesmärk oli panna inimene uskuma, et ta teeb argiseid ja hädavajalikke toiminguid. Raamatupidaja töö […]
Neverhacki ründava turbe juht Kaspar Jüristo pälvis Eesti esimesel riiklikul konkursil Digiauhinnad 2026 “Hea häkkeri” tunnustuse. Auhinna eesmärk on tunnustada nn valge kaabu eksperte, kelle töö aitab avastada kriitilisi turvanõrkusi enne, kui neid jõuavad ära kasutada kurjategijad. Kolmapäeval, 27. mail Telliskivi loomelinnakus toimunud pidulikul galal kuulutati välja Eesti esimese riikliku konkursi Digiauhinnad 2026 võitjad. Rambivalgusesse […]
Tehnoloogia areneb kiiremini, kui regulatsioonid ja inimeste teadmised järele jõuavad. Pettused muutuvad usutavamaks, tööriistad võimsamaks ja nende kasutamisega kaasnev mugavus kasvab samuti kiiresti, kirjutab Ronnie Jaanhold. Arst kuulab patsienti, keskendub ja küsib täpsustavaid küsimusi. Ta ei kirjuta midagi üles, sest vestlus salvestatakse ning tehisintellekt koostab sellest ise haigusloo. Arstil jääb nüüd rohkem aega patsiendi jaoks, […]
