Syslog ve Windows Olay Günlüğü
Neden günlük yönetimi?
Günlük Yönetimi – Ağ Güvenliğini Sağlamak için Ön gereksinim
Günlükler ağ faaliyetleriniz hakkında ilk elden bilgileri verir. Günlük yönetimi, günlüklerde gizlenen ağ faaliyetsi verilerinin anlamlı, işlem yapılabilen güvenlik bilgilerine dönüştürülmesini sağlar. Günlük yönetimi Ağ Güvenlik yöneticisinin ağı güvenli tutması için ön gereksinimdir.
Günlük yönetimi günlük toplama, güvenli depolama, normalleştirme, analiz, raporların ve uyarıların yaratılmasından oluşur.
Günlük Toplama
- Günlük toplama müdahalesiz, kesintisiz olmalıdır.
- Günlükler ağ üzerinde mevcut olan çeşitli cihaz, sunucu ve uygulama setlerinden toplanmalıdır.
- Günlük toplama işlemi tercihen vasıta/araç olmadanyapılmalıdır. Bazı ağ ortamlarında opsiyonel olarak araç kullanılan günlük toplama yapılabilmelidir.
Güvenli Depolama
- Adli analiz ve düzenleyici uyum gereksinimleri çerçevesinde günlük verilerinin arşivde depolanması gerekmektedir.
- Günlük verilerinin deposu emniyete alınmalıdır (örneğin, şifreleme ile)
- Ayrıca, depo kurcalanmaya karşı dayanıklı olmalıdır
- Depolama yeri, ortamı esnek olmalıdır (yalnızca okunan ortam, yığın depolama sistemi, vs.)
Günlük Normalleştirme
Heterojen kaynaklardan alınan günlükler ortak formatı olacak şekilde normalleştirilmelidir. Analiz edilmesi ve aralarında ilişki kurulması gerekmektedir.
Günlük Analizi
Ağ güvenliği olaylarının tam resmini alabilmek için günlüklerin analiz edilmesi gerekir.
Rapor ve Uyarı Yaratma
Rapor ve uyarı yaratmak üzere günlükler analiz edilir
- Farklı formatlarda ve dağıtılabilir özellikte kaydedilmiş, ihtiyaca göre uyarlanabilen, özel ve programlı raporlar in olmalıdır.
- Uyarılar gerçek zamanlı olarak bildirilmelidir. Daha fazla bildirim mekanizması olmalıdır ve hatta, iyileştirici önlemleri uygulamak için diğer programın da çalıştırılması gerekir.
Günlük yönetimi ağ güvenliğinin izlenmesinin ayrılmaz bir parçasıdır.