Overvågning og SIEM

SIEM (Security Information and Event Management) samler og analyserer sikkerhedsdata fra hele IT-miljøet i realtid. Det giver organisationer et centralt overblik over sikkerhedshændelser og gør det muligt at opdage trusler, før de forårsager skade.

Tilbage til ordbog

Hvad er overvågning og SIEM?

Sikkerhedsovervågning handler om at holde øje med, hvad der sker i organisationens IT-miljø. Uden overvågning kan angribere operere uopdaget i uger eller måneder. SIEM er den teknologiplatform, der gør systematisk overvågning mulig.

Et SIEM-system samler logdata fra alle IT-systemer: firewalls, endpoints, servere, identitetssystemer, cloud-tjenester og applikationer. Det normaliserer data til et fælles format, korrelerer hændelser på tværs af kilder og analyserer dem for at identificere trusler.

SIEM er centralt for hændelsesrespons. Når en trussel opdages, giver SIEM den kontekst, sikkerhedsteamet behøver for at forstå omfanget og reagere hurtigt. Det er også kritisk for at dokumentere overholdelse af compliance-krav.

SIEM-funktioner

Et moderne SIEM-system tilbyder:

Logindsamling: Centraliseret indsamling af logs fra alle datakilder. Normalisering sikrer, at data fra forskellige leverandører kan sammenlignes.
Korrelation: Kobler hændelser fra flere kilder for at opdage mønstre. En enkelt fejlet login er uskyldig; hundredvis fra forskellige IP'er mod samme konto er et brute force-angreb.
Realtidsalarmering: Trigger alarmer baseret på foruddefinerede regler og trusselsintelligens. Prioritering sikrer, at sikkerhedsteamet fokuserer på de mest kritiske hændelser.
Adfærdsanalyse (UEBA): User and Entity Behavior Analytics identificerer unormal adfærd, der afviger fra baseline. Fanger insidertrusler og kompromitterede konti.
Forensisk analyse: Mulighed for at søge i historiske data for at undersøge hændelser og forstå angrebskæder.
Dashboard og rapportering: Overblik over sikkerhedsstatus, trends og compliance-metrics.

SOAR (Security Orchestration, Automation and Response) kan integreres med SIEM for at automatisere respons på kendte trusselstyper, f.eks. automatisk blokering af mistænkelige IP-adresser.

Implementering

En SIEM-implementering kræver planlægning:

Definér scope: Start med de vigtigste datakilder. Firewalls, endpoint-sikkerhed, Active Directory og e-mailsikkerhed er typiske startpunkter. Udvid gradvist med DNS-logs, DLP-hændelser og applikationslogs.

Opret detektionsregler: Definér, hvad der skal alarmeres om. Brug trusselsintelligens og frameworks som MITRE ATT&CK til at strukturere detektionen. Start med kendte angrebsmønstre og udvid med adfærdsbaseret detektion.

Reducer støj: For mange alarmer er lige så problematisk som for få. Finjustér regler for at reducere falske positiver, og prioritér alarmer baseret på kritikalitet.

Bemanding: SIEM kræver dygtige analytikere, der kan vurdere alarmer og undersøge hændelser. Et Security Operations Center (SOC) kan drives internt eller outsources til en Managed Security Service Provider (MSSP).

Kombinér SIEM med penetrationstest og sårbarhedsscanning for at validere, at detektionsreglerne fanger reelle angreb.

Regulativer og standarder

NIS2 stiller direkte krav til overvågning og hændelsesdetektion. Organisationer skal kunne opdage, analysere og rapportere sikkerhedshændelser inden for stramme tidsfrister.

ISO 27001 og Annex A inkluderer kontroller for overvågning (A.8.15-A.8.16) og logning (A.8.15). Et ISMS bør definere overvågningskrav som en del af de tekniske og organisatoriske foranstaltninger.

DORA kræver, at finansielle institutioner har kontinuerlig overvågning af IKT-systemer. CIS 18 dedikerer kontrol 8 til audit log management. Under GDPR hjælper overvågning med at opdage databrud tidligt og overholde 72-timers meldepligten.

Ofte stillede spørgsmål om overvågning og siem

Hvad er forskellen på logning og SIEM?

Logning er indsamling og opbevaring af hændelsesdata fra systemer. SIEM samler logs fra mange kilder, korrelerer dem, analyserer dem med regler og maskinlæring, og genererer alarmer ved mistænkelig aktivitet. SIEM giver overblik og kontekst, som rå logs ikke giver.

Hvad er SOAR?

SOAR (Security Orchestration, Automation and Response) automatiserer reaktionen på sikkerhedshændelser. Når SIEM opdager en trussel, kan SOAR automatisk isolere en enhed, blokere en IP-adresse eller oprette en incident-ticket. Det reducerer responstiden markant.

Har små organisationer brug for SIEM?

Ja, men løsningen kan skaleres. Cloud-baserede SIEM-tjenester og Managed Security Service Providers (MSSP) gør SIEM tilgængeligt for mindre organisationer uden behov for egen infrastruktur og specialister.

Hvilke datakilder bør tilsluttes SIEM?

Start med de vigtigste: firewalls, endpoint-sikkerhed, identitetsstyring (Active Directory), e-mailsikkerhed og kritiske servere. Udvid gradvist med applikationslogs, cloud-tjenester og netværksudstyr.