LW 16 - #12 Flashcards
detectieve maatregelen
maatregelen die vaststellen of een bedreiging zich manifesteert
het proces van logging en monitoring
zorgt ervoor dat de gebeurtenissen (events) over de toestand en het gebruik van geautomatiseerde systemen worden vastgelegd en gevolgd
- hiermee kunnen beveiligingsincidenten worden gedetecteerd en aangepakt
SIEM - security information and event management
het proces logging en monitoring en de aansluiting hiervan op het proces incident management dmv geautomatiseerde tooling
event logging
het loggen van gebeurtenissen over de toestand en het gebruik van systemen
noem voorbeelden van gebeurtenissen die worden gelogd bij event logging
ongeautoriseerde netwerktoegang het bereiken van een opslaglimiet het in- of uitloggen van een gebruiker verstoringen in het productieproces het overschrijven of verwijderen van logbestanden
waar kunnen event logs kunnen worden gegeneerd?
overal;
netwerklaag (router, firewall)
het besturingssysteem
specifieke applicatie
de tweede fase is monitoring; waar bestaat deze fase uit?
het verzamelen en analyseren van de verschillende logbestanden
welke 4 stappen vinden er plaats in het proces van monitoring?
collectie
aggregatie
analyse
correlatie
collectie
het verzamelen van de verschillende logbestanden op een centrale logserver
aggregatie
het samenvoegen van de verschillende logbestanden, zodat bijvoorbeeld een IP-adres over verschillende events en apparaten gevolgd kan worden
analyse
het interpreteren van events in geaggregeerde logbestanden, waarbij bijvoorbeeld obv een vooraf gedefinieerde lijst met event en de bijbehorende impact/prioriteit gekeken wordt of een event belangrijk genoeg is om te vermelden
correlatie
het combineren van verschillende events over verschillende devices tot 1 nieuw event obv een gemene deler (ip-adres/datum/tijd)
de laatste fase is rapportage; waar bestaat het uit?
het bestaat uit het periodiek opstellen van rapportages over events en beveiligingsincidenten
met welk proces heeft rapportage een belangrijk raakvlak?
incident managementproces
sommige organisaties zijn vaak nog onvoldoende in staat om bepaalde gebeurtenissen te loggen; welke factoren spelen er hierbij een rol?
onvoldoende gerelateerd aan bedrijfs- of procesrisico onvoldoende prioritering false positives false negatives onvoldoende kundige resources tool als doel en niet als middel
blz188