Sentor
Startsidan Säkerhet 24/7
IDS/IPS 24/7 Brandvägg 24/7 ASSASSIN
Logghantering
Sårbarhetsskanning PCI DSS
Konsulttjänster Om Sentor Kontakt
Sentor MSS AB
Hovslagargatan 5B
111 48 Stockholm

Telefon:  08-545 333 00
Fax:08-545 333 99
E-post: info@sentor.se


In English

Logghantering med Splunk

Uppnå spårbarhet i nätverken med hjälp av logghantering

Allt fler företag inser vikten av att ha spårbarhet i sina IT-miljöer. En av de främsta anledningarna är att man vill kunna övervaka om företagets interna och externa policys efterlevs. Den andra stora anledningen är att spårbarhet är enormt viktigt för att upptäcka och utreda säkerhetsincidenter . genom att gå till loggar och annan insamlad och sökbar information kan man se vem som gjorde vad vid varje givet tillfälle - och se vad som hände samtidigt i kringliggande system

Brandväggar och virusskydd är bra för att upptäcka och förhindra vanliga typer av hot som kommer utifrån ett företags nätverk, men de kan aldrig ge ett hundraprocentigt skydd. De kan heller inte alltid upptäcka en attack som initieras inifrån det nätverk som skyddas av t.ex en insider.

Stoppa kostsamma incidenter genom att snabbt upptäcka och avvärja även interna hot

För att kunna upptäcka policyöverträdelser och reda upp händelseförloppet efter IT-säkerhetsrelaterade incidenter måste man bevaka loggar från relevanta system. Att få fram relevant information ur loggarna är dock ett svårt och tidsödande arbete eftersom de ofta är svårtolkade och spridda över en mängd olika delar av nätverken.

Centralt loggsystem med övervakning den bästa lösningen

Ett bra tillvägagångssätt för logghantering är att samla in och lagra viktiga loggar i ett centralt system som normaliserar och korrelerar dem samt gör dem sökbara. Optimalt blir det om man ansluter en övervakningsfunktion till loggcentralen som larmar när det sker incidenter och policyöverträdelser så att man kan reagera för att motverka dem.

Splunk

På Sentor har vi valt att basera våra logghanteringslösningar på produkten Splunk. Splunk erbjuder en helt ny approach på hantering av stora mängder logg- och annan insamlad IT-data. Istället för att som ett traditionell logghanteringssystem fungera som en databas eller register över fördefinierade händelser fungerar Splunk som en sökmotor för *all* din IT-data. Med Splunk får du hade möjligheten att söka, analysera och skapa rapporter på vilken information som helst som ligger "begravd" i ert datacenter: prestandadata, säkerhetsdata, mätvärden, loggar och annan information för t.ex problemlösning.

Omedelbar nulägesbild

Med Splunk kan man skapa sig en omedelbar lägesbild över din infrastrukter baserad på vilken data som helst som går att läsa maskinellt. Vi använder ofta Splunk för att skräddarsy lösningar för våra kunder - oftast utifrån ett säkerhetsperspektiv där vi kan integrera information från databaser, nätverksutrustning, säkerhetslösningar, operativsystem och applikationer. Att Sentor använder logghanterinslösningen huvudsakligen för att erbjuda er en Enterprise Security Monitoring funktion hindrar inte att Ni som kund även utnyttjar lösningen för andra ändamål: Som t.ex insamling av och rapportering på prestandadata, felsökning, tillgänglighetsrapporter etc.

Sentor erbjuder logghantering som en managerad tjänst

För att logghanteringen ska bli så effektiv som möjligt krävs djup kunskap om hur nätverk och IT-system fungerar och samverkar. Men för att komma igång och prova på krävs bara några minuter av din tid. Prova att ladda ner och själv installera Splunk! Eller kontakta Sentor för att få lite hjälp på vägen mot fullständig kontroll över dina IT-system.

Sentors experter har mångårig erfarenhet av att implementera, analysera och övervaka loggar från våra kunders nätverk. Beroende på kundens önskemål kan vi assistera i samtliga faser av ett logghanteringsinitiativ:

  1. Implementering: Vi hjälper er att implementera lösningarför logghantering i era nätverk. Vi bistår med skapandet av önskade "dashboards" (samlingspaneler) för att erbjuda snabb överblick.
  2. Drift och rapportering: Sentor sköter logghanteringslösningen som en tjänst och rapporterar löpande till av kunden utsedd mottagare. Som kund är du då fri att koncentrera dig på din verksamhet utan att bekymra dig om applikationsdrift.
  3. Säkerhet 24/7: Logghanteringslösningen kopplas direkt till Sentors Security Operations Center (SOC) där vi löpande tar emot larm och granskar insamlad loggdata utifrån våra kundes önskemål. Våra säkerhetsoperatörer responderar dygnet runt på larm som genereras utifrån en tillsammans med kunden upprättad Incident Response Plan (IRP).

Självklart kan vi också hjälpa till med incidentutredning när någonting oförutsett inträffar.

Hur säkra behöver ni vara?

Ring 08-545 333 00 eller e-posta info@sentor.se så diskuterar vi ert behov av logghantering och vilken tjänstenivå som skulle passa ert företag.

Gå upp
Fördelar med Sentors Logghantering
  • Lagring och normalisering av loggar i en gemensam sökbar databas möjliggör snabb åtkomst av önskad information vid exempelvis analys av trafiken i nätverket.
  • Normalisering av loggarna gör det enkelt att ta fram skräddarsydda rapporter om aktiviteten i nätverket.
  • Möjlighet att enkelt identifiera policyöverträdelser och/eller säkerhetsincidenter.
  • Möjlighet att snabbt analysera accessloggar för att upptäcka insideraktivitet.
  • Det är ett mycket effektivt och tidssparande verktyg vid utredning av dataintrång och andra attacker.
  • Loggarna arkiveras i Sentors centrala system för logghantering, skyddade från obehöriga utomstående.
  • Bidrar till efterlevnad av policystandarder, t ex Sarbanes-Oxley eller PCI.
© Sentor 2010