Tegenwoordig houdt veel apparatuur loggegevens bij. Dat is maar goed ook, want het is data die de cyberweerbaarheid van organisaties kan verhogen. Maar: wat zijn loggegevens? En wat doen we ermee?
Bij een inbraak zonder camerabeelden is het knap lastig de dader nog te vinden. Wie kans wil maken op gerechtigheid, moet creatief zijn. Hetzelfde geldt bij een digitale inbraak: zonder registraties van gebeurtenissen is het spoorzoeken een stuk lastiger.
Wat zijn loggegevens?
“Loggegevens” is een verzamelnaam voor data van activiteiten op apparaten. Bovenstaand voorbeeld legt in een notendop het securitynut van loggegevens uit. Al zetten cyber security experts logs vooral in om te achterhalen hoe cyberincidenten hebben kunnen gebeuren. We willen herhaling voorkomen.
Wat voor aanvallen zijn te achterhalen?
Door loggegevens slim te analyseren (daar gaan we later op in) is het mogelijk de bron van elke cyberaanval te achterhalen. Of nog beter: de cyberaanval real-time detecteren. Logs zijn een goudmijn aan informatie. Het is niet voor niets dat steeds meer organisaties hun logs laten analyseren door securityspecialisten.
Verbanden leggen met loggegevens
Loggegevens van één apparaat geeft informatie, maar logs van alle apparaten combineren maakt het pas echt mogelijk verbanden te leggen. Het doel van aanvallers is vaak toegang krijgen tot het netwerk. Ze beperken zich dus meestal niet tot één apparaat. Het combineren van logs maakt het mogelijk alle acties – in dit geval van de hacker – binnen de digitale infrastructuur te herleiden.
Honderden, duizenden & miljoenen logs
Het combineren van logs geeft inzicht. Dat is alleen helemaal niet zo simpel. Eén apparaat (log-producing asset) produceert dagelijks al een grote hoeveelheid loggegevens. Laat staan de gehele digitale infrastructuur bij elkaar. Dat zijn ongekend veel logs. Onmogelijk om handmatig door te spitten dus.
Orde in de chaos
Om deze rimboe aan informatie te verwerken en te vergelijken, is er software nodig. Binnen de cyber security gebruiken we doorgaans SIEM-software. Deze software zorgt ervoor dat de data in het juiste format (die verschilt per log-producing asset!) in de database komt.
Vaak heeft zo’n SIEM ook nog een dashboard waarin alle data visueel zichtbaar is. Dat geeft overzicht en inzicht. Als de logs van de hele IT-omgeving gekoppeld zijn aan de software is er in de SIEM informatie over de hele infrastructuur op te zoeken. Ook geeft een SIEM een melding van verdachte activiteit als van te voren gedefinieerd is wat onder verdacht valt.
Detection & Response
- 22 jun, 2022
MDR tot XDR: Detection & Response afkortingen uitgelegd
Lees verder
Van inzicht naar meerwaarde
Het hebben van inzicht garandeert nog geen meerwaarde. Iemand moet de informatie eerst interpreteren, goed snappen en er actie op zetten. Een Security Operations Center vertaalt de informatie uit een SIEM door tot concrete handelingen. Security experts signaleren of grijpen zelfs in bij security incidenten.
Aanpassingen die dergelijke meldingen in het vervolg voorkomen, verhogen vervolgens op de lange termijn de cyberweerbaarheid.
Toepassing van logs buiten de cyber security
Inzicht in de activiteiten op een infrastructuur levert nog meer kansen op. En nee, we hebben het niet over medewerkers bespioneren. Al kunnen het wel wat zeggen over hoe vaak collega’s bepaalde toepassingen gebruiken. Misschien is er meer bandbreedte voor nodig dan gedacht? Of misschien zijn er in het vervolg juist minder licenties nodig?
En biedt uw organisatie vaak IT-support op afstand? Dan helpen logs helpdeskmedewerkers bronnen van moeilijk te herleiden problemen te achterhalen. Sommige IT-bedrijven zijn hun klanten zelfs voor door contact met ze op te nemen, nog voordat hun apparaat symptomen vertoont.
Loggegevens: zet ze in
Of de toepassing nu binnen de support of juist cyber security ligt: loganalyse achterhaalt snel oorzaken en oplossingen. Vragen over hoe wij loggegevens inzetten? Of over de SIEM-software die wij daarvoor gebruiken? Of onze SOC-dienst in zijn algemeen? Neem vrijblijvend contact met ons op.
