Marc Guardiola CISO
1 oktober 2019

Van logging naar waardecreatie

Log Management is een van de secure managed services die wij onze klanten bieden. Je kunt er het gedrag en de performance van je systemen mee in kaart brengen. Maar dat niet alleen. Er zijn verschillende toepassingen mogelijk waardoor je nog veel meer uit je loginformatie kunt halen. 

Veel van wat op een bedrijfsnetwerk gebeurt, zou onmiddellijk weer vergeten worden zodra het voorbij is, als er niet ergens een log van werd opgeslagen. Vrijwel alle apparaten in een IT-infrastructuur registreren alles wat ze doen in logs. De laatste jaren worden dergelijke logs steeds belangrijker – niet alleen om te achterhalen wat een specifiek apparaat heeft gedaan (of nagelaten), maar ook voor toepassingen die veel verder gaan dan dat.

Het kan best handig en relevant zijn om de prestaties en activiteiten van één apparaat te bekijken, maar het wordt een stuk interessanter als je de loggegevens van al je (netwerk)apparatuur kunt combineren. Wellicht is je eigen organisatie hier al bekend mee vanuit compliance: in zekere branches en voor bepaalde activiteiten moet je als organisatie kunnen aantonen dat je inzicht hebt in wat zich op je netwerk afspeelt (denk aan ISO en SOC2 audits). Een goed log-overzicht dekt dat af. Maar dat je iets moet registreren, is niet per se hetzelfde als dit goed inzichtelijk maken om waarde te creëren.

Waardevolle inzichten

Een voorbeeld van wat inzicht in loggegevens voor je kan doen is verbetering van je support. Iedere helpdesk kent het verschijnsel van klanten met klachten die moeilijk te herleiden zijn naar een specifieke oorzaak. Het antwoord op dergelijke vage klachten ligt vaak verscholen in de logs. Goede log-analyse helpt snel een oorzaak te achterhalen en een oplossing te vinden. Sterker nog: door loggegevens goed in de gaten te houden kun je klachten voorblijven, doordat in de logs vaak aanwijzingen verscholen liggen die erop duiden dat bepaalde apparaten of verbindingen niet optimaal functioneren. Op die manier gebruiken we log-analyse bij Solvinity bijvoorbeeld om storingen te voorkomen en hoge beschikbaarheid te garanderen.

Logs kunnen ook beter inzicht geven in hoe eindgebruikers omgaan met IT. Als bepaalde functionaliteit ongebruikt blijft, kan dat bijvoorbeeld aanleiding zijn om minder licenties af te nemen, of zelfs helemaal afscheid te nemen van bepaalde toepassingen. Andersom kan het je helpen tijdig trends te signaleren. Als een bepaalde toepassing onverwacht vaak wordt gebruikt, kun je, door tijdig meer bandbreedte beschikbaar te stellen, voorkomen dat een populaire applicatie steeds trager reageert of zelfs vastloopt. Log-analyse stelt je in staat de inspanningen van je IT-team te concentreren op de plaatsen waar nieuwe behoeften ontstaan, zodat klanten en gebruikers altijd de optimale gebruikservaring krijgen.

Een stap verder is logs gebruiken voor incidentmanagement. In de logs liggen aanwijzingen verscholen die door gespecialiseerde software (of getrainde security-specialisten in een Security Operation Center) gebruikt worden om bijvoorbeeld hackpogingen te detecteren, of te signaleren dat mensen dingen proberen te doen waarvoor ze niet geautoriseerd zijn. Intelligente log-analyse wordt steeds vaker gebruikt om verdachte activiteiten automatisch en in real-time te signaleren of zelfs te blokkeren. Gevoelige bedrijfsinformatie die naar een USB-stick wordt gekopieerd? Een bestuurslid dat inlogt vanuit een vreemde locatie? Dankzij log-analyse kan daarop direct worden ingegrepen.

Een oerwoud van data

Zo simpel als het klinkt, is het in de praktijk helaas niet. Een log doornemen is één ding, maar honderden logs doorspitten op zoek naar mogelijke correlaties is serieus veel werk. Dat werk is voor een groot deel te automatiseren, maar niet voordat er enig slim denkwerk aan vooraf is gegaan.

Vrijwel alle apparatuur houdt tegenwoordig logs bij, maar er is niet één standaard voor dergelijke logs. Verschillende fabrikanten bewaren logs voor kortere of langere periodes, en ook het type gegevens, het formaat en de volgorde waarin die data worden opgeslagen verschilt sterk. Dat maakt analyse van dergelijke gegevens extra bewerkelijk. Bovendien is de beveiliging van de logs op al die verschillende apparaten niet bepaald eenduidig. Als je logs wilt kunnen gebruiken om verdachte activiteiten op te sporen, moet je er wel van op aan kunnen dat die logs een betrouwbaar beeld geven van de werkelijkheid.

Om die reden verzamelen we bij Solvinity alle logs van alle netwerkapparatuur onder ons beheer (en op verzoek zelfs de logs van devices buiten ons beheer) rechtstreeks in één centrale, goed bewaakte database. De gegevens die we daarin opnemen, worden door ons automatisch ‘genormaliseerd’. Dat wil zeggen dat we een reeks slimme scripts hebben ontwikkeld om ervoor te zorgen dat de data, uit de vaak honderden logs die bij ons binnenkomen, wordt opgeslagen op een manier die het mogelijk maakt ze eenvoudig te vergelijken en te analyseren, ongeacht het type apparaat of de leverancier.

Die database met loggegevens gebruiken onze eigen mensen dagelijks bij hun beheertaken. Door de loggegevens te verwerken in een grafisch dashboard, krijgen onze klantenteams inzicht in het functioneren van de klantomgeving, van de infrastructuur tot en met de applicaties. Diezelfde database (en het bijbehorende dashboard) stellen we ook als aanvullende logging-dienst beschikbaar aan onze klanten, waarvan een aantal de loggegevens al gebruikt voor allerlei analyses. SIEM-oplossingen bijvoorbeeld (Security Information and Event Management), die loggegevens analyseren om realtime security-incidenten op te sporen, kunnen rechtstreeks aan ons loggingplatform worden gekoppeld. Maar er zijn ook steeds meer klanten die zelf toegang willen tot onze grafische dashboards, om beter inzicht te krijgen in wat er zoal gebeurt binnen hun omgeving en daar inzichten uit te halen die van grote waarde zijn voor de organisatie.

Als je meer wilt weten over hoe Solvinity logs voor je kan ontsluiten en wat logging voor jouw organisatie kan betekenen, neem dan contact met ons op. We vertellen je graag over alle mogelijkheden.

Lees ook

Meer

Kunnen we je verder helpen?

Maandag t/m vrijdag van 08:00 - 18:00 uur