5.2.1. Inleiding (logging en monitoring)
Audit logs bestaan uit systeem informatie gebruikt om systeem- en gebruikersactiviteiten op te sporen en te koppelen aan gebeurtenissen (events). Gebruik makend van de juiste tools en procedures kunnen audit logs bijdragen tot de detectie van inbreuken op informatie- en ICT-veiligheid, het opsporen van technische problemen en non-conformiteit t.o.v. beleidslijnen. Monitoring gaat nog een stap verder door (near) real-time opvolging van gebeurtenissen. Logging bestaat uit het verzamelen en bijhouden van informatie; deze informatie wordt op haar beurt gebruikt voor relevante opvolging en dient als controle input voor de beveiliging en risicobeheersing.
In oplopende volgorde van complexiteit bestaat het loggen uit:
Manuele logboeken,
Geautomatiseerde audit logs,
Audit trails.
Er worden verschillende geautomatiseerde audit logs erkend:
Technische logs of systeem logs: hierin worden gebeurtenissen (events) opgenomen zoals het gebruik technische en functionele beheersfuncties, activiteiten onder beveiligingsbeheer, verstoringen en (veiligheids-)incidenten. Voorbeelden van veiligheidsincidenten zijn: detectie van malware, foutieve inlogpogingen (hiervoor wordt een drempelwaarde bepaald), overschrijding van autorisatiebevoegdheden, geweigerde pogingen om toegang te krijgen, het gebruik van niet
operationele systeemservices en het starten en stoppen van security services. Voorbeelden van verstoringen in het productieproces zijn: vollopen van queues, systeemfouten, afbreken tijdens executie van programmatuur en het niet beschikbaar zijn van aangeroepen programmaonderdelen of –systemen.Applicatie logs: verzamelt gebeurtenissen van een toepassing zoals berichten, uitzonderingen en fouten. Het formaat en de inhoud van deze logs wordt bepaald tijdens de design fase van een toepassing. Applicatie logs worden ook wel functionele logs genoemd, een bijzondere vorm hiervan is transactionele logging, waarbij informatie uit transacties worden bijgehouden.
Het verwerken van de log informatie, ook weer in oplopende volgorde van complexiteit, bestaat uit:
Analyse van de audit logs, bij voorkeur a.d.h.v. filtering tools,
Correlatie van diverse audit logs, al dan niet met externe bronnen,
(Real-time) veiligheidsmonitoring,
Security incident & event monitoring (SIEM).
Merk op dat de complexiteit gepaard gaande met automatisatie omgekeerd evenredig is met de operationele middelen (mankracht – tijd) nodig om de taak uit te voeren.\
Manuele logging is het handmatig bijhouden van activiteiten en registratie ervan in een logboek. Het spreekt voor zich dat deze methode het meest gevoelig is voor fouten, onregelmatigheden en het ontbreken van activiteiten, daar deze gebaseerd is op de discipline en de capaciteit van de uitvoerders om deze taak systematisch en precies te herhalen. Bovendien zijn er vaak meerdere uitvoerders bij
betrokken, wat eenzelfde methodiek en discipline noodzaakt. Een voorbeeld waar manuele logging wel vaak gebruikt wordt, is het bezoekerslogboek.
De eerste stap bij het opzetten van een succesvol audit programma, is het identificeren en documenteren van de te loggen activiteiten, en hun onderlinge relaties, die relevantie hebben met het beoogde doel. Hierbij worden volgende types onderscheiden:
Gebruikersactiviteiten: dit is elke menselijke tussenkomst in een proces (creatie, consultatie, wijziging, verwijdering). Deze tussenkomst omvat ook het gebruik van geprivilegieerde accounts;
Systeemactiviteiten: bvb systeemfouten, shutdown/restart, enz.
Een volgende stap is het opzetten van een goede audit infrastructuur, deze ziet er globaal genomen zo uit:Log informatie genereren d.m.v. parametrisatie van lokale systemen, Parametrisatie van lokale systemen zodat zij audit records (events) verzamelen, Deze informatie wordt vanuit de lokale systemen in een logbeheer platform verzameld. Dit kan een bestand of een database zijn die lokaal of centraal opgeslagen wordt. Het log beheer platform bewaakt de integriteit en beheert de lifecycle van de verzamelde log informatie (events),
Een log analyse tool maakt gebruik van deze centrale database aan audit records,
Er is tevens back-up van logbestanden voorzien,
Bijhouden op lange termijn via een archivage systeem.