Log Management og SIEM

“Synlighed skal aldrig undervurderes ” – Margaret Cho

 

 

De fleste danske virksomheder har udelukkende fokus på at holde uvedkommende ude fra deres netværk og enheder. Det betyder, at man har implementeret tiltag som f.eks. firewall, anti-virus og backup, som skal fungere som værn for virksomhedens værdifulde aktiver. Disse tiltag er grundlæggende for at opnå tilfredsstillende IT-sikkerhed.

Det er vigtigt at realisere, at ovenstående netop kun er et værn på ydersiden af netværket. I dag er dette desværre ikke nok.

Virkeligheden i dag er, at der er mange eksempler på, at virksomhedernes ydre værn bliver gennembrudt. Hændelser kan både skyldes udefrakommende, som trænger sig ind på virksomhedens netværk, men det kan også skyldes uhensigtsmæssig adfærd fra virksomhedens egne brugere eller leverandører, som bevidst eller ubevidst sætter virksomheden i en risikabel situation.

Virksomhederne har behov for brugbare værktøjer for at overvåge og kontrollere, hvad der foregår internt i netværket. Kort sagt, hvis nogen bryder igennem det første værn (og det gør de), så har man behov for at opdage og reagere på det.

Det vi ser er, at langt de fleste virksomheder har svært ved (eller umuligt) at svare på, om man inden for de sidste 12 måneder har mistet data eller på anden måde været udsat for en sikkerhedsmæssig hændelse.

Formål

Formålet med GlobalSequr Overvågning er at give virksomheden muligheden for at se, hvad der foregår på dets eget netværk og på egne enheder.

Kun ved at kigge indad og se på aktiviteten i netværket bliver det muligt at identificere, om virksomheden bliver udsat for hændelser, som ikke blokeres af firewall’en eller anti-virus-programmet.

Når man kan se, hvad der faktisk foregår, kan man reagere!

Denne indsigt og transparens i eget netværk er mulig at opnå med GlobalSequr Overvågning – og endda med en minimal økonomisk og ressourcemæssig investering.

Forskellen på Log Management og SIEM

Den største forskel på Log Management og SIEM er, at SIEM har en indbygget motor, der kan foretage korrelation af data på tværs af forskellige kilder og der er indbygget algoritmer der kigger på anormaliteter.

Det betyder i praksis, at Log Management er reaktiv, hvilket betyder, at man kan undersøge hvad der er sket, hvordan det er sket og hvornår det er sket – når skaden er sket.

Ved SIEM kommer man tættere på analyse og alarmering i real tid, hvilket gør, at man har mulighed for at minimere skaden.

Hvis din virksomhed har behov for at udvide, så vil de næste teknologier man kigger på være:

 • Packet inspection og avanceret netværksanalyse
 • UEBA (User and Entity Behavior Analytics)
 • End-point detection and Response
 • Playbooks (regler for hvordan man behandler et incident)

Højeste grad af log-privacy sikkerhed

Det helt specielle ved løsningen fra GlobalSequr er, at alle de logs, der sendes, bliver indsamlet og evalueret af danskere, og alle logs bliver sendt krypteret til serverne. Mange virksomheder er utrygge ved at lade logs passere gennem amerikanske eller andre udenlandske servere og analytikere.

Målgruppe

Alle virksomheder skal som følge af GDPR foretage logning centralt. Derudover er det en god idé for dem som ønsker at tage næste step efter perimeter-sikring og ønsker synlighed på netværket.

Hvad består GlobalSequr overvågning af:

En grundlæggende afdækning af aktivitet på virksomhedens netværk og enheder:

 • Opsætning af relevante sikkerhedsmæssige audits
 • Opsamling af relevant historik og data (log-filer)
 • Løbende monitorering og analyse af aktiviteten på netværk og enheder
 • Månedlig rapportering

GlobalSequr Overvågning er en service, som drives af mennesker til mennesker – det er den menneskelige analyse og stillingtagen til data, som giver værdi, og dermed gør forskellen.

Cloud, onsite eller hosted løsning

Hos GlobalSequr har vi erfaringer med alle tre setup. Det handler mest om, hvad din virksomhed synes er den rette løsning, samt hvor stor en andel I selv ønsker at have med driften at gøre.

Det økonomiske perspektiv i de forskellige løsninger kan vi hjælpe jer med at regne på, hvis I har behov for det.

Processen

 • Sammen med en IT-sikkerhedskonsulent fra GlobalSequr kortlægges virksomhedens enheder, som ønskes overvåget. Dette gøres evt. i en opstartsworkshop sammen med virksomheden
 • Installation af agent på de relevante enheder
 • GlobalSequr modtager via agenter de relevante data, som analyseres

Hvad logger vi?

 • Klienter (pc’er)
 • Databaseservere
 • Servere

Hvis I ønsker at gå skridtet videre, så kan vi også logge:

 • Sikkerhed (Firewall, AV m.v.)
 • Netværksenheder
 • Specielle applikationer

Som udgangspunkt bliver logs opbevaret i 6 måneder.

Default settings

 • Login dokumentation (hvem logger ind og hvornår)
 • Security log (alarm hvis denne log bliver slettet)
 • Hvem tilgår dokumenter og hvornår
 • Databaser (login)
 • Detektering af insidertrusler
 • Anormaliteter i afsendelse af log
 • Større ændringer i logmængder
 • Delte konti

Dashboards

Der vil blive lavet 5-10 dashboards tilpasset virksomheden som standard – der kan dog løbende udbygges i takt med virksomhedens behov.

Alarmering vil blive sat op i samarbejde med lokale tekniske/forretningsmæssige systemejere.

Yderligere services

Når kendskabet til netværket er blevet større, og de fornødne tilpasninger/beslutninger er truffet, kan der udvides med de ydelser, der matcher det sikkerhedsniveau, virksomheden ønsker:

 • Yderligere manuelle analyser af hændelser
 • Skræddersyet rapportering
 • Analyse af ind- og udgående forbindelser til agenter
 • Intelligence feed (trafik mod C&C servere og dropservere)
 • Skræddersyede business cases til virksomheden
 • Integration til vulnerability management
 • Detektering af skadelig kode i applikationer
 • Integration til end-point management portal
 • Øget log-opbevaring
 • Opsætning af alarmer til mere akut respons
 • Håndtering af alarmer og respons-services
 • SIEM, som er tilpasset compliance framework, som f.eks. ISO27001
 • Avanceret respons og 24/7 overvågning
 • Øget log-opbevaring

Kort teknisk beskrivelse

Logopsamling fra klienter sker ved, at der installeres en agent, der fremsender relevante logs til logopsamlingsserver. På klienter – og windows servere sker det rent praktisk ved, at der rulles en msi pakke ud. Denne pakke gør følgende:

 • Tager et billede af de eksisterende audits
 • Sætter de audits der sikrer, at de rigtige logs bliver fremsendt
 • Installerer en log-forwarder agent
 • Sikrer mulighed for at kunne afinstallere og returnere til tidligere tilstand

GlobalSequr har på ingen måde adgang til den enkelte klient ligesom de logs, der bliver sendt, ikke indeholder viden om indhold i f.eks. dokumenter. Logs bliver sendt via en krypteret TCP-forbindelse.

Er en klient offline, gentager den fremsendelse af logs fra det tidspunkt, hvor den gik offline, når den kommer online igen.

Med denne løsning er din virksomhed compliant i forhold til GDPR og I har mulighed for at udbygge løsningen i takt med jeres behov.

Interesseret i Log Management og SIEM?
Udfyld nedenstående og vi vil kontakte dig.