För att kunna upptäcka it-relaterade säkerhetshändelser behöver organisationen upprätta en funktion med uppgift att övervaka it-miljön ur ett säkerhetsperspektiv. För att vara effektiv behöver funktionen ha förmåga att samla och analysera säkerhetsloggar för att så tidigt som möjligt upptäcka pågående angrepp samt felaktig och obehörig användning.
På samma sätt som organisationen t.ex. har larm i sina lokaler och bevakning för att upptäcka inbrott eller brand, behöver organisationen ha åtgärder för att upptäcka intrång och oavsiktliga händelser i sin it-miljö. Brister i detta kan medföra att angripare kan dölja sin närvaro, att skadlig kod oupptäckt kan spridas och att andra oönskade aktiviteter kan pågå i verksamhetens it-miljö. I många organisationer upptäcks inte cyberangrepp förrän de påtagligt påverkar verksamheten. I värsta fall upptäcks aldrig ett angrepp.
Loggning, logganalys och övervakning används för att upptäcka, begränsa och hantera säkerhetspåverkande händelser och angrepp. Säkerhetsloggning underlättar att:
Det kan dessutom krävas att det i efterhand, ibland efter lång tid, behövs tillgång till innehållet i säkerhetsloggarna för att kunna rekonstruera ett händelseförlopp.
Detta om organisationen upptäcker att någon säkerhetshändelse skett först långt efter att den verkligen hände.
Organisationen bör skaffa sig förmågan att upptäcka säkerhetshändelser i it-miljön så tidigt som möjligt. Detta sker ofta i form av en funktion som utför säkerhetsmonitorering, även kallad SOC (eng. Security Operations Center). Detta kräver att det finns personal som har till uppgift att övervaka händelser i it-miljön. Övervakningen kan ske genom egen personal eller genom att avtala tjänsten med en leverantör.
En SOC använder sig av manuella och tekniska hjälpmedel för att analysera logghändelser. Det tar förhållandevis lång tid att bygga upp automatiska funktioner som på ett tillförlitligt sätt kan larma på logghändelser från informationssystem.
Planera hur säkerhetsloggning ska genomföras. Utgå från att en säkerhetslogg bör innehålla information om var, när och hur en händelse har inträffat och vem som var orsak till att aktiviteten utfördes. Händelser som exempelvis kan loggas är:
Insamlade loggar bör skickas till en central tjänst för lagring och logganalys. Se till att alla system som regelbundet sparar loggar har tillräckligt med lagringsutrymme så att loggfiler inte fylls upp mellan rotationsintervallen.
Spara loggarna i enlighet med rättsliga regler och verksamhetens behov. Det är viktigt att behörighetsstyrningen förhindrar att obehöriga tar del av, eller kan ändra, innehållet i loggar.
Synkronisera alla system där loggning sker mot samma tidskälla och samma tidszon för att underlätta analys och korrelation av loggposter.
Om säkerhetsövervakningen indikerar en händelse med brottsligt uppsåt, uppmanas organisationen att göra en polisanmälan.