← Tillbaka till Försvar

Detektering och loggning

Översikt över loggtyper

Olika loggtyper svarar på olika frågor. Stark detektering kommer från att samla in rätt källor, hålla klockor synkroniserade och göra händelser sökbara med tydliga, normaliserade fält.

Lärandemål

Det här ska du kunna efter genomläsning.
  • Förklara vad system-, autentiserings-, program- och nätverksloggar används för
  • Välj en praktisk baslinje av loggkällor som stöder vanliga undersökningar
  • Förstå varför normalisering, tidssynkronisering, retention och integritetskontroller är viktiga

I korthet

En snabb mental modell innan du går på djupet.
🧠
Vad loggar besvarar
  • Vad hände, när det hände och vad förändrades
  • Vem gjorde det och vilken identitet som användes
  • Var den uppstod och vad den nådde
  • Om det lyckades och vad som följde
Kärnloggfamiljer
  • System- och serviceloggar för stabilitet och serviceaktivitet
  • Autentiserings- och granskningsloggar för identitet och privilegierade åtgärder
  • Nätverksloggar för tillgänglighet och policybeslut
  • Applikationsloggar för affärsåtgärder och API-beteende
Vanliga misstag
  • Att endast hålla loggar lokalt, vilket gör radering och manipulering enklare
  • Tidsdrift och blandade tidszoner som bryter tidslinjer
  • Oparsad data och inkonsekventa fältnamn
  • Samla in buller utan en tydlig undersökningsanvändning

Kärnloggkategorier

Systemloggar beskriver vad operativsystemet och kärntjänsterna gör. Använd dem för att bekräfta omstarter, omstarter av tjänsten, uppdateringsaktivitet och tecken på instabilitet som disk-, minnes- eller drivrutinsfel.

Autentiserings- och granskningsloggar beskriver vem som fick åtkomst till vad och vilka privilegierade åtgärder som vidtogs. Använd dem för att undersöka inloggningar, misslyckade försök, behörighetshöjningar, kontoändringar och säkerhetsrelevanta konfigurationsändringar.

Applikationsloggar beskriver vad en specifik applikation gör. Använd dem för att spåra användaråtgärder, API-anrop, valideringsfel och affärshändelser och för att koppla en incident till en appfunktion eller transaktion.

Nätverksloggar beskriver anslutningsmöjligheter och policybeslut. Använd dem för att förstå vem som pratade med vad, genom vilka portar och om trafik tilläts, nekades, omdirigerades eller löstes genom DNS.

Normalisering och tid

  • Normalisera nyckelfält som användare, värd, source_ip, dest_ip, `action`, `outcome` och `reason` så att sökningar fungerar i olika verktyg
  • Lagra tidsstämplar i UTC för korrelation och behåll den ursprungliga tidszonen endast för visning vid behov
  • Verifiera tidssynkronisering och logga pipelines kontinuerligt så att du märker drift, luckor eller analysfel tidigt
Varning
Varför tidssynkronisering är viktig
Incidenttidslinjer bygger på korrekt händelseordning. Om klockor driver kan en inloggning och en efterföljande åtgärd se omvända ut, och korrelation mellan värdar blir opålitlig.
⚠️

Retention och integritet

  • Ställ in retention baserat på utredningsbehov och budgetera sedan lagring för de loggkällor som ger det högsta säkerhetsvärdet
  • Skydda loggar av högt värde med central lagring, minst privilegierad åtkomst och säkerhetskopior eller kontroller när det är möjligt att skriva en gång
  • Varning om saknade värdar, plötsliga volymsänkningar eller inaktiverad loggning så att du snabbt fångar blinda fläckar

Signaler att bevaka

Mönster som är värda att undersöka vidare.
📡
  • En värd som slutar skicka loggar eller har upprepade luckor under kontorstid
  • Säkerhets- eller revisionshändelser minskar kraftigt medan andra loggar fortsätter som vanligt
  • Oväntade klockändringar, upprepade NTP-fel eller plötsliga tidszonförskjutningar
  • Fel och omstartstoppar som sammanfaller med autentiseringsavvikelser

FÖRDJUPNING

Tänk i frågor, inte källor

En bra loggningsplan börjar med de frågor du förväntar dig att besvara under incidenter. Till exempel: vem som autentiserade, vad som förändrades, vilken process som kördes, var den kopplades och om den lyckades.

När du känner till frågorna, mappa dem till källor. Systemloggar täcker stabilitet och serviceaktivitet. Autentiserings- och granskningsloggar täcker identitet och privilegierade åtgärder. Nätverksloggar täcker tillgänglighet och policybeslut. Applikationsloggar fångar affärer och API-beteende.

En praktisk teknik: skriv en lista över incidenter på en sida för din miljö och lägg sedan till en loggkälla för varje obesvarad fråga.

• Identitetsfrågor: vem loggade in, varifrån och med vilken metod

• Ändra frågor: vad som installerades, modifierades eller startade

• Nätverksfrågor: vad pratade med vad och vad som blockerades

• Datafrågor: vad fick åtkomst till, exporterades eller raderades

Normalisering och fältkartläggning

Normalisering är hur du gör olika källor sökbara på ett konsekvent sätt. Det låter dig skriva en fråga som fungerar över många loggtyper.

Välj konsekventa fältnamn för samma idé över källor, såsom användare, värd, process, src_ip, dst_ip, `action` och resultat. Behåll den råa händelsen också så att du kan återvända till analysen senare.

Behandla analyskvalitet som ett säkerhetsproblem. Om ett nyckelfält slutar extrahera korrekt kan detektioner försämras tyst.

• Håll en kort lista över kritiska fält per loggfamilj och övervaka dem

• Föredrar strukturerade loggar när de är tillgängliga, men mata in ostrukturerade loggar också

Tid, integritet och retention

Tidssynkronisering är en säkerhetskontroll. Om klockorna går, går tidslinjerna sönder och korrelationerna misslyckas. Använd en gemensam tidskälla för servrar, slutpunkter och nätverksenheter och se efter plötsliga tidshopp.

Skydda loggintegriteten med åtkomstkontroll och oföränderlighet där det är möjligt. Loggar är bevis, så du vill ha insyn i ändringar, raderingar och insamlingsfel.

Retention är en avvägning mellan kostnad och utredningsdjup. Ett vanligt tillvägagångssätt är snabb sökbar lagring för senaste data och billigare arkivlagring för äldre data som du fortfarande kan behöva under en längre incident.

Centralisera loggar så att du kan söka konsekvent och minska risken för lokal loggborttagning på en komprometterad värd.

Driftskontroller som förhindrar överraskningar

Validera hela pipelinen: generering, insamling, transport, analys, lagring och sökning. Många fel inträffar i mitten på grund av hastighetsbegränsningar, köförluster eller analysfel.

Spåra enkla hälsosignaler: logga volymtrender per källa, intagsfördröjning, antal parserfel och saknade kritiska fält.

Skapa en liten uppsättning syntetiska händelser som du kan generera med avsikt, så att du kan bekräfta synlighet från början till slut när du misstänker en lucka.

Att välja källor efter undersökningsanvändningsfall

Olika utredningar kräver olika loggtyper. Autentiseringsfrågor kräver identitetsloggar. Sidorörelse kräver ofta endpoint- och fjärrhanteringsloggar. Frågor om dataåtkomst kräver applikations- och databasloggar.

Börja med en minimiuppsättning som täcker identitet, endpoint, nätverksperimeter, DNS och kritiska applikationer. Utöka sedan utifrån vad ni faktiskt kör och vilka hot ni prioriterar.

Vanliga fallgropar och hur man undviker dem

För mycket brus är ett vanligt felläge. Att samla allt är inte en strategi om ingen kan söka i det. Föredrar högvärdiga händelser först och utöka sedan med mätning.

Lita inte på en enda källa för kritiska slutsatser. Använd minst två perspektiv när det är möjligt, t.ex. endpoint plus nätverk eller applikation plus databas.

Standardisera på UTC för lagring och bevara alltid den ursprungliga tidsstämpeln, eftersom tidszoner och dagsljusförändringar skapar förvirring under svar.

Startchecklista

• Definiera viktiga incidentfrågor och mappa var och en till källor

• Synkronisera klockor och lagra tidsstämplar konsekvent

• Centralisera loggar och validera analys av kritiska fält

• Skydda loggåtkomst och integritet, ställ sedan upp förväntningar på lagring

• Skapa repeterbara sökningar efter vanliga incidenter och validera regelbundet