Document toolboxDocument toolbox

5.2.4. Link met andere maatregelen (logging en monitoring)

SIEM is geen alleenstaand proces maar heeft interacties met de andere beheersprocessen:

De maatregel PAM of Privileged Access Management beschrijft hoe het gebruik van geprivilegieerde rechten zoals toegekend aan systeembeheerders, ontwikkelaars, … moet worden toegekend en opgevolgd. Het gebruik van logging voor geprivilegieerde rechten is in dit document opgenomen. 

Logbestanden bevatten een groot scala aan informatie en moeten dus op hun beurt voldoen aan het informatieclassificatiemodel. Als gevolg daarvan is het denkbaar dat loginformatie informatieklasse 3 of hoger toegekend krijgt of dat er persoonsgegevens in de logbestanden opgeslagen worden, waardoor de maatregelen rond cryptografie zoals beschreven in het bovengenoemd document van toepassing zijn.

Logs bieden waardevolle informatie voor het inschatten van bedreigingen, hun waarschijnlijkheid en impact – en dus informatie voor het uitvoeren van risicoanalyses. Ze bieden namelijk inzicht in de reconstructie van reële incidenten en bedreigingen.

Loginformatie kan helpen bij het onderzoek van een incident. Belangrijk hierbij is dat enerzijds genoeg informatie gelogd wordt en anderzijds dat de loginformatie lang genoeg wordt bijgehouden om na een incident ver genoeg in de tijd te kunnen teruggaan voor de reconstructie van het incident