Log & Event Management

Většina organizací si je vědoma významu vnitřní i vnější ochrany podnikových datových sítí, a proto tyto sítě vybavuje řadou bezpečnostních prvků. Tyto prvky jsou schopny své okolí informovat o své činnosti. Nicméně praxe ukazuje, že řada firem sice události zaznamenává, ale z praktických důvodů již není v lidských silách tyto logy v reálném čase analyzovat.

Proto je třeba nasadit takové řešení, které umožní nejen sběr logů a jejich analýzu v reálném čase, ale i jejich archivaci a případnou následnou analýzu. Cílem totiž je být včas informován již v přípravné fázi útoku, kdy probíhá průzkum a sběr informací o samotné infrastruktuře. Následná analýza pak umožňuje podrobně zjistit, co a proč se stalo, a přijmout nápravná opatření.

Systém monitoringu musí:

• zpracovávat informace o přihlášení/odhlášení všech uživatelů a správců
• zpracovávat informace o IP adresách přidělených/přidělovaných stanicím
• zpracovávat informace o všech zamítnutých přístupech k systémům a jejich zdrojům
• zpracovávat informace o všech systémových i aplikačních chybách všech zájmových systémů
• být schopen klasifikovat závažnost událostí s přihlédnutím k dalším informacím a časovým souslednostem
• podporovat procesy reakce na zjištěné incidenty vhodnou komunikací s operátory a správci (konzole, mail, SMS).
• podporovat procesy dokumentaci incidentů zaznamenáváním informací o průběhu incidentů a jejich řešení
• umožňovat jednoduchou správu a archivaci zaznamenaných dat

Některé aspekty související s otázkou bezpečnostního monitoringu jsou řešeny i uznávanými mezinárodními standardy v oblasti bezpečnosti IS. Mezi takové normy patří zejména:

• ČSN ISO/IEC 17799 Informační technologie – Soubor postupů pro řízení informační bezpečnosti
• ČSN ISO/IEC TR 13355 Informační technologie – Směrnice pro řízení bezpečnosti IT
• ISO/IEC 27001
• SOAX
• Basel II