Fem tips för logghantering

2017-03-08

Färskt i minnet från ett antal projekt under vintern och början av det nya året kommer här fem tips på hur du utformar och landar ert logghanteringsprojekt.

Gustav Rydmark Tekniskt säljstöd Säkerhet

 

  1. Tänk efter om användarfall 
    Förr i världen var det viktigt att noga kartlägga alla tänkta användarfall (use cases) innan projektet ens startade. Detta är inte sant i samma utsträckning längre – men man kommer inte undan att göra några initiala riktlinjer. Tänk efter vad ni initialt vill veta och vilka delar av infrastrukturen som finns till hands för att bidra med den informationen. Dokumentera dessa för att veta när ni är i hamn med denna första samling.
  2. Kartlägg arkitektur 
    En logghanteringslösning behöver samla information från alla möjliga skrymslen och vrår i infrastrukturen. Detta medför att bl.a nätsegmenteringar, brandväggar, geografiska platser och begränsade näthastigheter alla kan ställa sig i vägen för insamlingen. Det är i regel inget problem att designa runt detta – men det är smidigt om det förutses, snarare än upptäcks.
  3. Implementera stegvis 
    När det gäller logghantering finns det som i många IT-projekt en riskfaktor om allt skall göras på en gång. Även i tidspressade utrullningar är det rekommenderat att dela upp implementationen i faser, där en uppsättning källor tas in, verifieras och eventuellt åtgärdas innan nästa tas in.
  4. Involvera flera roller 
    Loggdata samlas in från flera olika plattformar som kräver olika kompetenser. De flesta källor kräver antingen att någon ändrar inställningar i källan, eller att logghanteringslösningen får tillgång till någon typ av konto för att hämta loggen från källan. Detta kräver oftast att flera roller inom IT-organisationen är involverade. Se till att dessa har tid att bistå i projektet.
  5. Förfina vartefter 
    Nästan som en samlingspunkt för punkt 1 och 3, är detta en poäng som tål att itereras på: Gör en initial insats och förfina sedan plattformen vartefter organisationen upptäcker att något bör ändras. Det är oundvikligt att nya saker upptäcks och gamla bör förändras. Ta höjd för detta och låt det komma vartefter. Logghantering och SIEM är en högst levande lösning som förändras med tiden och kontinuerligt användande.

 

Vi på Atea Säkerhet pratar gärna vidare om våra erfarenheter kring historik och spårbarhet!