W trakcie konferencji Semafor 2017, Paweł Żuchowski z Quest Dystrybucja mówił, że istnieje wiele wyzwań związanych ze zbieraniem i przetwarzaniem logów bezpieczeństwa. Jednym z nich jest to, że zazwyczaj środowisko IT w organizacji nie jest jednorodne. Mamy więc do czynienia z różnymi formatami logów na różnych systemach. Żuchowski nie zaleca, by zbierając logi, gromadzić i archiwizować absolutnie wszystko. Jego zdaniem, w przypadku dużych środowisk, lepiej zastanowić się i zdecydować na przetwarzanie jedynie kluczowych dla organizacji danych. Uważa również, że trzeba zapewnić taką infrastrukturę, by nie było możliwości modyfikowania logów przez nieuczciwych administratorów oraz zabezpieczyć się przed sytuacjami, w których awaria serwera doprowadza do utraty logów.

Przy budowie Security Operations Center, zdaniem Żuchowskiego powinniśmy się kierować chęcią zbierania logów z heterogenicznych środowisk oraz optymalnie gospodarować dostępnym miejscem – ważne logi potrzebne do prowadzenia śledztw zapisywać w postaci natywnej, a mniej istotne tak, by umożliwiły szybkie wyszukiwanie potrzebnych informacji. Przedstawiciel Quest Dystrybucja podkreślił także potrzebę gromadzenia aktywności użytkowników, by weryfikować to, czy wprowadzona polityka bezpieczeństwa jest spełniona, a także mieć możliwość szybkiego reagowania na sytuacje, gdy zostaje przekroczona. W realizowaniu tych zadań wskazał na trzy pomocne rozwiązania, którymi są InTrust, Change Auditor oraz Smar Investigator. Dwa pierwsze mają być pomocne w zbieraniu logów, a ostatnie do przechowywania długoterminowego oraz prowadzenia analizy śledczej.

Zobacz również:

• FBI ostrzega - masowy atak phishingowy w USA