Dörrarna till begreppet SIEM har öppnat sig för mig, från att det inte har varit något som jag aktivt själv jobbat med till att vara väldigt högt upp på agendan. SIEM står för Security Information and Event Management, och är egentligen en samlingsterm för två underliggande andra mekanismer; SIM – Security Information Management, och SEM – Security Event Management.
SIM handlar i praktiken om att samla in loggar på så mycket du kan och så ofta du kan. SEM handlar om att tolka alla loggar, omvandla den data du samlat in i loggar till information som kan tas vidare. SIEM som kombinerar de två handlar då om att (oftast) i realtid och effektivt, samla in loggar kontinuerligt och processa dessa för att snabbt kunna hitta avvikelser och tillsätta rätt åtgärder för en säkrare IT-miljö.
Detta är det underbara med IT, det finns krångliga termer för allt! Men låt mig göra det åtminstone förståeligt för dig genom att nosa på ytan och presentera EventLog Analyzer från en division under den stora Zoho koncernen som heter ManageEngine. ManageEngine fokuserar på att förenkla det dagliga IT-arbetet och tillhandahåller produkter för allt från säkerhet, till helpdesk-funktioner, nätverksadministration och applikationshantering. De har det mesta till bra licenspriser.
Med några enkla klick så kan du ladda ned och installera produkten. När den är installerad, antingen lokalt på din dator eller på en server, så administreras produkten som alla ManageEngines produkter genom webbgränssnitt. När du loggat in får du en schysst överblick över de senaste insamlade loggarna och olika staplar som visar på tex antal lyckade/misslyckade inloggningar, topp kategori för olika log events insamlade från olika servrar. I en inställningsflik kan du lägga till olika typer av källor för att samla in loggar från, några exempel är:
- Active Directory
- Windows servrar, tex Windows 2003/2008 men kan ta in Windows XP och Windows 7 loggar
- Ladda upp egna loggar
- Sysloggar från Linux- eller Unixmiljöer
- Ciscoswitchar och routrar
Det sköna är att du slipper installera agenter på dina målmaskiner, det räcker med att du lägger till dem i EventLog Analyzer som en “host” och så är det klart. Med 10 minutersintervall som lägsta insamlingsfrekvens så är du igång på nolltid med insamlingen av loggar. Det finns inbyggt ett stort arkiv av färdiga rapporter, och du kan få de utrenderade som PDF:er på några sekunder för att tex skicka till din ledningsgrupp eller andra intressenter.
Jag satte själv upp produkten som demo på min dator på jobbet, och kopplade på några testservrar. Jag ville primärt kolla av en specifik funktion som heter File Integrity Monitoring (FIM), som gör det möjligt att enkelt logga förändringar på filnivå på dina servrar. Den loggar per default alla filer som skapas, ändras och tas bort utan koppling till vilken inloggad användare, men om du vill kan du även aktivera detta. Då får du full trackrecord på alla filer och vem som skapat/ändrat/tagit bort dem. Men tänk på att loggningen på användarnivå tar prestanda från målmaskinen, hur mycket är oklart för mig utan det får du testa dig fram till. För mig fungerade det enkelt, det blev en tydlig graf och en enkel lista med en fil/mapp per rad som förändrats på något sätt. Du väljer själv de mappar som du vill bevaka så du kan göra loggningen så liten eller så omfattande som du själva är ute efter.
Mina sista ord om EventLog Analyzer handlar om en del i deras rapportarkiv som handlar om compliance. De har flera framtagna rapporter som direkt siktar på att förenklar uppföljning mot olika regelverk som tex SOX och PCI. Det är ett riktigt skönt stöd för IT-chefer som mig själv när regelverken blir tuffare och kräver mer och mer uppmärksamhet. Att därför kunna skära tex alla dina loggade hostar i en specifik rapport för PCI sparar mycket tid.
Det finns klart många fler funktioner än de jag lyft här, och vill du bara få lite mer feeling för hur det ser ut så kan du kolla in videon nedanför. Att jobba med SIEM kräver ett bra systemstöd, annars kommer du drunkna i loggar. Att samla loggar är meningslöst i sig. Att veta hur du ska analysera är viktigt, men också meningslöst om du inte har något effektivt sätt att arbeta tillsammans med loggarna. Det behövs hantera i ganska nära real-tid för att göra dig någon nytta. Jag ser en spännande utmaning framför mig att börja jobba själv mer aktivt med SIEM och förstå hur det kan hjälpa mig och min verksamhet framåt.
Här är videon förresten om EventLog Analyzer:
