Logning og overvågning (CIS)

CIS Control 8 — Audit Log Management — handler om at indsamle, beskytte og analysere logdata fra alle kritiske systemer og applikationer for at opdage, undersøge og reagere på sikkerhedshændelser. Logs er beviserne, der gør det muligt at forstå, hvad der skete under et angreb.

Tilbage til ordbog

Hvad er logning og overvågning?

Logning er processen med automatisk at registrere begivenheder i IT-systemer – fra logins og konfigurationsændringer til adgangsforsøg og systemfejl. Overvågning er den aktive proces med at gennemgå og analysere disse logs for at opdage mistænkelig aktivitet.

Uden tilstrækkelig logning er det umuligt at opdage angreb i tide eller efterforske, hvad der skete efter en hændelse. Logs er det digitale sporingsbevis i sikkerhedsefterforskning.

Hvad skal logges?

CIS Control 8 anbefaler logning af:

Autentificeringshændelser: Login, logout og mislykkede loginforsøg.
Privilegerede handlinger: Al administratoraktivitet og forhøjet adgang.
Systemhændelser: Opstart, nedlukning og fejltilstande.
Netværkstrafik: Firewall- og DNS-hændelser.
Adgang til kritiske ressourcer: Fil- og systemadgang på følsomme aktiver.
Konfigurationsændringer: Ændringer i system- eller applikationsindstillinger.

Logopbevaring og -beskyttelse

Logs skal opbevares tilstrækkeligt længe til at understøtte efterforskning af hændelser. CIS anbefaler minimum 90 dages aktiv logopbevaring og 1 år i arkiv. Logs skal beskyttes mod manipulation – i praksis ved at sende dem til en central, read-only log-platform, som angribere ikke kan ændre.

Tidsstempling: Korrekte tidsstempler er afgørende for at korrelere logs på tværs af systemer. Alle systemer bør synkroniseres til en fælles tidskilde via NTP (Network Time Protocol).

SIEM og centraliseret logning

Et SIEM-system (Security Information and Event Management) samler logs fra alle systemer på én platform og muliggør korrelation og automatisk detektion af anomalier. SIEM er typisk et IG2/IG3-krav, men selv mindre organisationer kan drage fordel af centraliseret logning via cloud-baserede SIEM-løsninger. Effektiv loghåndtering går hånd i hånd med sikkerhedslogning og bredere hændelsesresponskapaciteter.

Ofte stillede spørgsmål om logning og overvågning (cis)

Hvad er CIS Control 8?

CIS Control 8 — Audit Log Management — dækker indsamling, beskyttelse og analyse af revisionslogs fra systemer og applikationer for at opdage, undersøge og reagere på sikkerhedshændelser.

Hvad skal logges ifølge CIS Control 8?

CIS Control 8 anbefaler logning af autentificeringshændelser, privilegerede handlinger, systemhændelser, netværkstrafik, adgang til kritiske ressourcer og konfigurationsændringer som minimum.

Hvor længe skal logs opbevares?

CIS anbefaler minimum 90 dages aktiv logopbevaring og 1 år i arkiv. Den præcise periode bør bestemmes ud fra behov for hændelsesefterforskning og eventuelle regulatoriske krav.

Hvad er en SIEM, og hvornår er den nødvendig?

Et SIEM-system (Security Information and Event Management) samler logs fra flere kilder og muliggør korrelation og automatisk detektion af anomalier. Det er typisk et IG2/IG3-krav under CIS Controls.

Hvorfor er tidssynkronisering vigtig for logning?

Korrekte tidsstempler er afgørende for at korrelere hændelser på tværs af forskellige systemer under hændelsesefterforskning. Uden synkroniserede ure er det vanskeligt at rekonstruere hændelsesforløbet ved et angreb.