Stránky o kybernetické bezpečnosti

Centrální logmanagement

Centrální logmanagement (často označovaný jako CLM) je naprosto klíčový. Slouží k automatizovanému sběru, ukládání a analýze záznamů (logů) ze všech částí vaší IT infrastruktury na jedno jediné místo.

Nutný pro:

  1. Splnění zákonných povinností (Compliance)

    • Nový zákon o kybernetické bezpečnosti (264/2025 Sb.) a vyhláška o bezpečnostních opatřeních (409/2025 Sb.) přímo nařizují:
    • Zaznamenávání událostí: Musíte prokazatelně logovat aktivitu uživatelů, administrátorů a technických aktiv.
    • Dlouhodobé uchovávání: Logy musí být uloženy po stanovenou dobu (často 18 měsíců i více), což na jednotlivých serverech nebo firewallech kvůli kapacitě disků není možné.
    • Integrita záznamů: Centrální úložiště zajišťuje, že útočník nemůže smazat stopy svého útoku přímo na napadeném serveru, protože logy už jsou bezpečně odeslány do "černé skříňky" (CLM), ke které nemá přístup.

  2. Detekce a vyšetřování incidentů Bez centrálního systému je odhalení útoku "mravenčí práce". CLM umožňuje:

    • Korelace událostí, které zaznamenaly různé systémy - spojí do jednoho časového příběhu.
    • Rychlé vyhledávání, místo procházení různých konzolí vše na jednom místě.
    • Alerting v reálném čase, systém může okamžitě upozorní, pokud dojde k anomálii.

  3. Usnadnění Auditu KB Pro auditora je centrální logmanagement "svatým grálem":

    • Reporty: Přehledy o přístupech, změnách v konfiguraci nebo pokusech o narušení.
    • Důkazy o funkčnosti bezp. opatření, snadné prokázání, že funguje a že o dění je přehled.

  4. Provozní efektivita Kromě bezpečnosti pomáhá i běžnému IT:

    • Troubleshooting: jednodušší vyhledávání příčin problémů.
    • Dashboardy: Přehledné grafy o vytížení systémů, počtu chyb nebo aktivitě uživatelů.

Log Management vs. SIEM

Log Management: Sbírá a ukládá data (nutný základ pro zákon). SIEM (Security Information and Event Management): Nad těmito daty provádí chytrou analýzu a vyhodnocuje rizika.

Co by nemělo chyběv CLM:

  • Síťové logy - klíčové pro detekci anomálií a útoků na síťové infrastruktuře.
    • Firewall logy - povolené i blokované síťové spojení, identifikace pokusů o neoprávněný přístup a port skenování.
    • DNS logy - moitorují dotazy na DNS servery, odhalení komunikace se škodlivými doménami nebo exfiltraci dat.
    • Proxy/Web aplikační firewall (WAF) logy - analyzuja HTTP(S) komunikace, nezbyzné pro detekci webových útoků, jako je SQL injection nebo XSS.
    • VPN logy - připojení uživatelů k firemní síti přes VPN, zaznamenávání časů přihlášení, odhlášení a pokusy o neúspěšné připojení, důležité pro kontrolu vzdáleného přístupu.
  • Systémové a aplikační logy - přehled o aktivitách na koncových zařízeních a serverech.
    • Logy operačního systému (OS) - Windows Event Logy nebo logy ze systémů Linux, sledování přihlašování uživatelů, změn konfigurace, spouštění procesů a oprávnění souborů.
    • Autentizační logy - pokusy o přihlášení (úspěšné i neúspěšné) do systémů, nezbytné pro detekci útoků hrubou silou nebo zneužití účtů.
    • Aplikační logy - logy z klíčových aplikací (např. databáze, webové servery, e-mailové servery), informace o činnosti uvnitř aplikací, odhalení zranitelnosti a pokusy o jejich zneužití.
    • Antivirové a EDR (Endpoint Detection and Response) logy -  signalizace detekci malwaru, podezřelé chování procesů nebo blokování škodlivých aktivit.
    • Logy z identitního managementu Active Directory/LDAP logy - události související s uživatelskými účty, jako je vytváření, mazání nebo změny oprávnění, klíčové pro detekci zneužití oprávnění nebo pohybu v síti po kompromitaci účtu.
    • Vícefaktorová autentizace (MFA) logy - monitoring použití MFA a odhalují pokusy o obcházení tohoto zabezpečení.
    • Logy z cloudových služeb
Back to Top