Hvad er forskellen på Audit, Log Management System (LMS) og Security Information and Event Management (SIEM)?

Blandt mange af vores kunder er der en generel bred opfattelse af, at et log management-/SIEM-system kan være nødvendigt, men også en fornemmelse af, at det kan være et dyrt og ofte svært tiltag. Hvad er det helt præcist, et logsystem kan gøre for din it-sikkerhed, og hvad bør du overveje, før du går i gang med et nyt eller retter op på et eksisterende tiltag på et log management-/SIEM-projekt.

Log management/SIEM – hvad er forskellen?

De fleste logge skrives i en cyklisk buffer (et bufferområde af en fast størrelse, hvor nye logge overskriver starten, når slutningen af bufferen nås), som kun kan gemme logge i en begrænset periode, og jo mere aktivitet der et på et device/system, jo flere logge skrives der. Det betyder, at man uden logopsamling på fx en firewall eller domain controller måske kun har logge for en dag eller måske højst en uge.

Ved aktivt at opsamle logge til et centralt lager kan man senere gennemgå logge for en længere periode, fx et år eller mere. Opsamlingen af logge til et centralt indekseret register med mulighed for at filtrere og søge, evt. med enkelte alarmer, dashboards og rapporter, kaldes for log management. Det er en grundlæggende disciplin, hvor kompleksiteten er overskuelig og mest centrerer sig om søgetider, opbevaringstid (retention) og filtre, som udsøger bestemte logge, der i sig selv giver mening, som fx Windows EventID 4740, der viser, at en Windows-konto er blevet låst.

Hvis du oven på logsystemet lægger viden om ”bad” i form af fx hashværdier, kombinationer af logge, eksterne uønskede IP-adresser og URL, så har du i store træk et SIEM-system (Security Information and Event Management).

Det er ofte muligt at vælge at implementere et SIEM-system ved først at implementere et log management-system, og når dette virker efter hensigten så bygge SIEM-funktionaliteten ovenpå i et efterfølgende trin. Kompleksiteten af et SIEM-system er væsentligt større, og det kræver en del kontinuerligt afsatte ressourcer at tune og overvåge SIEM-systemet. En god tommelfingerregel er, at der mindst skal bruges dobbelt så mange ressourcer på SIEM-delen som på logdelen.

Hvad er forskellen på audit-systemer og log management-/SIEM-systemer

Det er som regel kun nogle enkelte af de mange indsamlede logge, der aktivt skal bruges, og da der kan være milliarder af logge, så er tricket at finde nålen i høstakken i disse systemer. Audit-systemer er ”født” med at vide, hvor nålen er, og fungerer ved kun at indsamle og formidle viden om de vigtigste logge i et oversat og nemt forståeligt format. Audit-systemet gemmer således ikke de rå logge (og kan derfor ikke bruges i juridisk forstand), men er til gengæld hurtige, nemme og billige at implementere og drifte. Det er også muligt at kombinere audit- og logsystemer for hurtigere at få en god ROI på logtiltaget og gøre logning tilgængelig for flere af organisationens medarbejdere.

Eksempler på audit- og logsystemer

• ManageEngine ADAudit – Audit af fx Active Directory og Azure AD samt filsystemer. Læs mere her. 
• ManageEngine M365 Manager – Audit af fx Azure AD, Office 365, Exchange online, SharePoint Online, OneDrive for Business og Skype for Business. Læs mere her.
• ManageEngine DataSecurity Plus – Audit af filsystemer med DLP, dataklassificering og discovery. Læs mere her. 
• ManageEngine ExchangeReporter – Audit af on-prem og cloud Exchange. Læs mere her. 
• ManageEngine Cloud Security Plus – Audit af SalesForce, Azure, AWS og Google Cloud. Læs mere her.
• Lepide – Audit af fx AD/Azure, SQL, SharePoint, Exchange og cloudløsninger som alle Microsoft- løsninger, Amazon, G Suite og DropBox. Læs mere her. 
• ManageEngine EventLog Analyzer – LogManagement. Læs mere her. 
• LogRhythm – Avanceret SIEM-system. Læs mere her.

Få svar på de mange spørgsmål om log management og SIEM på vores webinar, der afholdes den 21. januar kl. 10-11.30. Læs mere og tilmeld dig her.