Veel van wat op een bedrijfsnetwerk gebeurt, zou onmiddellijk weer vergeten worden zodra het voorbij is, als er niet ergens een log van werd opgeslagen. Vrijwel alle apparaten in een it-infrastructuur registreren alles wat ze doen in logs. De laatste jaren worden dergelijke logs steeds belangrijker,niet alleen om te achterhalen wat een specifiek apparaat heeft gedaan (of nagelaten), maar ook voor toepassingen die veel verder gaan dan dat.
Het kan best handig en relevant zijn om de prestaties en activiteiten van één apparaat te bekijken, maar het wordt een stuk interessanter als je de loggegevens van al je (netwerk)apparatuur kunt combineren. Wellicht is je eigen organisatie hier al bekend mee vanuit compliance: in zekere branches en voor bepaalde activiteiten moet je als organisatie kunnen aantonen dat je inzicht hebt in wat zich op je netwerk afspeelt (denk aan ISO en SOC2 audits). Een goed log-overzicht dekt dat af. Maar dat je inzicht hebt in data, wil niet meteen zeggen dat je in staat bent er waarde uit te halen.
Waardevolle inzichten
Een voorbeeld van wat inzicht in loggegevens voor je kan doen, is verbetering van je support. Iedere helpdesk kent het verschijnsel van klanten met klachten die moeilijk te herleiden zijn naar een specifieke oorzaak. Het antwoord op dergelijke vage klachten ligt vaak verscholen in de logs. Goede log-analyse helpt snel een oorzaak te achterhalen en een oplossing te vinden. Sterker nog: door loggegevens goed in de gaten te houden kun je klachten voorblijven, doordat in de logs vaak aanwijzingen verscholen liggen die erop duiden dat bepaalde apparaten of verbindingen niet optimaal functioneren. Op die manier gebruiken we log-analyse bij mijn organisatie bijvoorbeeld om storingen te voorkomen en hoge beschikbaarheid te garanderen.
Logs kunnen ook beter inzicht geven in hoe eindgebruikers omgaan met it. Als bepaalde functionaliteit ongebruikt blijft, kan dat bijvoorbeeld aanleiding zijn om minder licenties af te nemen, of zelfs helemaal afscheid te nemen van bepaalde toepassingen. Andersom kan het je helpen tijdig trends te signaleren. Als een bepaalde toepassing onverwacht vaak wordt gebruikt, kun je, door tijdig meer bandbreedte beschikbaar te stellen, voorkomen dat een populaire applicatie steeds trager reageert of zelfs vastloopt. Log-analyse stelt je in staat de inspanningen van je it-team te concentreren op de plaatsen waar nieuwe behoeften ontstaan, zodat klanten en gebruikers altijd de optimale gebruikservaring krijgen.
Een stap verder is logs gebruiken voor incidentmanagement. In de logs liggen aanwijzingen verscholen waarmee gespecialiseerde software (of getrainde security-specialisten in een security operation center) bijvoorbeeld hackpogingen kan detecteren, of signaleren dat mensen dingen proberen te doen waarvoor ze niet geautoriseerd zijn. Intelligente log-analyse wordt steeds vaker gebruikt om verdachte activiteiten automatisch en in real-time te signaleren of zelfs te blokkeren. Gevoelige bedrijfsinformatie die naar een usb-stick wordt gekopieerd? Een bestuurslid dat inlogt vanuit een vreemde locatie? Dankzij log-analyse kan daarop direct worden ingegrepen.
Een oerwoud van data
Zo simpel als het klinkt, is het in de praktijk helaas niet. Een log doornemen is één ding, maar honderden logs doorspitten op zoek naar mogelijke correlaties is serieus veel werk. Dat werk is voor een groot deel te automatiseren, maar niet voordat er enig slim denkwerk aan vooraf is gegaan.
Vrijwel alle apparatuur houdt tegenwoordig logs bij, maar er is niet één standaard voor dergelijke logs. Verschillende fabrikanten bewaren logs voor kortere of langere periodes, en ook het type gegevens, het formaat en de volgorde waarin die data worden opgeslagen verschilt sterk. Dat maakt analyse van dergelijke gegevens extra bewerkelijk. Bovendien is de beveiliging van de logs op al die verschillende apparaten niet bepaald eenduidig. Als je logs wilt kunnen gebruiken om verdachte activiteiten op te sporen, moet je er wel van op aan kunnen dat die logs een betrouwbaar beeld geven van de werkelijkheid. Om die reden is het verstandig alle logs van alle netwerkapparatuur direct onder te brengen in één centrale, goed bewaakte database.
Om het mogelijk te maken de gegevens uit de vaak honderden logs eenvoudig te vergelijken en te analyseren, ongeacht het type apparaat of de leverancier, is het belangrijk de data te ‘normaliseren’. Dat kan met behulp van slimme scripts, die zorgen dat de logs automatisch op de juiste manier in de database terechtkomen. Om de data vervolgens inzichtelijk te maken voor bijvoorbeeld beheertaken, helpt het als de loggegevens worden verwerkt in een grafisch dashboard, dat direct inzicht geeft in het functioneren van de hele it-omgeving, van de infrastructuur tot en met de applicaties. Dezelfde database maakt het ook mogelijk de gegevens te ontsluiten voor meer geavanceerde analyses, zoals siem-oplossingen (security information and event management), die loggegevens analyseren om realtime security-incidenten op te sporen.
Verscholen in de logs van alle applicaties en devices in je organisatie liggen inzichten die in potentie van grote waarde kunnen zijn. Ze kunnen je helpen je it beter te laten functioneren en geven je inzicht in wat zich binnen je bedrijfsnetwerk afspeelt. De data zelf krijg je gratis van ieder device en elke app die nu al in je organisatie wordt gebruikt. Om er waarde uit te halen, heb je in feite alleen iemand nodig die de gegevens bewaakt en ontsluit. Een goede managed service provider kan je daar zeker bij helpen.
Marc Guardiola, ciso bij Solvinity