Workflow per una strategia di log management

Una strategia di log management (gestione dei log di sicurezza) adeguata alle esigenze dell’organizzazione prevede i passi di seguito elencati.

• Centralizzare nel sistema di log managementi tutti gli eventi rilevanti. Una volta definiti gli eventi rilevanti per la propria organizzazione, occorre far sì che tali eventi siano registrati all’interno di un sistema centralizzato, dopo averli sottoposti a filtraggio, aggregazione e normalizzazione. Solo gli eventi provenienti dai sistemi giudicati rilevanti debbono essere raccolti.
• Definire l’ambito di applicazione. Occorre documentare quali sono i sistemi rilevanti ai fini del monitoraggio della sicurezza o del rispetto alle normative. Occorre definire quali sono le reti e gli asset interni che fanno parte di una rete protetta. Occorre, infine, produrre un documento che definisca dove sono registrati gli eventi e il periodo di conservazione per ogni tipologia di log.
• Revisione tempestiva dei log. Definire quali sono gli Eventi di interesse, ovvero gli eventi che possono costituire una minaccia, tenendo conto che, dei milioni di log prodotti giornalmente, meno dell’1% rappresenta una minaccia. Occorre definire dei Service Level Agreement (SLA) e delle Standard Operating Procedures (SOPs) per ogni tipo di evento di interesse, stabilendo l’intervallo di tempo affinché l’evento venga evidenziato e una procedura da seguire per ogni evento di interesse. Occorre infine schedulare la produzione di report degli eventi chiave dei dispositivi di sicurezza.
• Creare un percorso di audit degli eventi di interesse. Occorre mantenere un percorso di audit sicuro per provare come gli eventi di interesse siano stati gestiti e Documentare come ogni evento di interesse sia stato gestito attraverso le SOPs e rispettando gli SLA.