Log Management centralizat.

Din ce in ce mai multi administratori si persoanele care sint implicate in Securitatea IT ridica problema centralizarii log-urilor. Inainte de a lua o astfel de decizie este bine sa se fie clarificate citeva aspecte privitoare la o astfel de solutie.

De ce? – in primul rind.

– creste vizibilitatea asupra problemelor existente in retea

– ajuta la scaderea timpului de remediere a problemelor printr-o identificare si corelare mai usoara

– ajuta la identificarea anomaliilor in retea si depistarea posibilelor incercari de atac asupra infrastructurii IT

– ofera statut de “conform cu standardul” pentru organizatiile ce incearca sa obtina certificari de tip PCI

– oferirea de rapoarte de catre departametul IT pentru  management si alte departamente

– pentru procesul de IT forensics.

Dar ce trebuie tinut minte inainte de a putea sa te gindesti la achizitionarea si implementarea unei astfel de solutii.  Daca pretul stocarii informatiei scade continuu in asa fel incit  solutiile hardware sa devina din ce in ce mai accesibile,  noi probleme trebuie rezolvate.

– Normalizarea. Pentru a putea corela evenimentele si pentru o mai buna ierarhizare, logurile trebuiesc normalizate. Ce inseamna termenul de normalizare? Convertirea logurilor din diferite formate intr-un format care sa permita interpretarea, corelarea si raportarea. De exemplu logurile de la Windows Server 2008 sint diferite ca format de cele de la 2003. Blocarea unui pachet este logata diferit de IPTables in Syslog sau de Cisco ASE.

Solutia s-ar putea sa fie adoptarea standardului  Mitree CEE (Mitre Common Event Expression), adoptat de majoritatea ofertantilor de soft incepind cu Oracle si Microsoft si terminind cu Syslog.

– Raportarea. Pentru a procesa un volum mare de informatii si a detecta ceea ce este important, este nevoie ca sistemul sa poata suporta crearea automata de rapoarte, accesarea lor pe baza de autorizare si transmiterea lor  pe cit mai multe canale (SMS, email, Web).

– Design. Sistemele de logging inca tind sa foloseasca UDP-ul ca protocol de transmisie. In cazul unei arhitecturi distribuite trebuie luata in considerare o arhitectura bazata pe protocolul TCP. De unde se colecteaza logurile? Acum se colecteaza in principal de la sisteme de operare si dispozitive de retea. Dar in acest moment conectarea bazelor de date si aplicatiilor devine necesara pentru a putea avea si un mecanism robust de DLP (Data Loss Prevention)

– Implicare. Managementul trebuie sa acorde suport pentru construirea unei astfel de solutii, pentru alocare resurselor care sa monitorizeze si sa interpreteze informatiile oferite. Totodata Log Management-ul trebuie sa devina parte din procesele curente de IT si de “Incident Response”.

Exista solutii comerciale: Arcview, Intellitactics, LogLogic, Splunk sau AllienVault. Recomandarea mea ar fi sa incepeti cu o solutie  demo, de la Splunk sau AllienVault, invatati ce poate oferi un astfel de sistem, definiti-va cerintele si apoi daca mai ramin si bani, indreptati-va catre o solutie comerciala.

Have Fun,