31 Oct

Compliance Dashboards in Splunk

In een eerdere blogpost werden de mogelijkheden om Splunk te gebruiken voor (ISO 27002) compliance al eens uitgelicht.

Een van de belangrijkste eigenschappen van Splunk is dat het de integriteit van de verzamelde logs waarborgt. Maar ook het analyseren van de informatie uit logs kan van enorme waarde zijn bij het voldoen aan compliance-standaarden en gerelateerde audits.

Middels dashboards in Splunk is een organisatie in staat rapportages te produceren. Deze rapportages bieden ook direct oplossing tijdens een audit. Dezelfde dashboards geven daarnaast een real-time inzicht waardoor de uitkomst van een audit voorspelbaar wordt. Een organisatie kan op deze manier de stap van reactief naar proactief maken. Al voordat een audit gepland staat, kunnen eventuele problemen geïdentificeerd en preventief opgelost worden.

Voorbeeld van een compliance dashboard
Een voorbeeld hiervan is het monitoren van mislukte inlogpogingen. Deze use case komt uit de compliance-standaard voor overheidsdiensten, de Baseline Informatiebeveiliging Rijksdiensten (BIR).

“Nadat voor een gebruikersnaam 5 keer een foutief wachtwoord gegeven is, wordt het account minimaal 10 minuten geblokkeerd. Indien er geen lockout periode ingesteld kan worden, dan wordt het account geblokkeerd totdat de gebruiker verzoekt deze lockout op te heffen of het wachtwoord te resetten.”

Veel organisaties maken gebruik van Active Directory. Met behulp van Splunk kan eenvoudig de active directory data verzameld worden. Vervolgens kan er per gebruiker weergegeven worden hoe vaak zij een verkeerd wachtwoord opgeven en indien gewenst een waarschuwing gegenereerd worden.

schermafbeelding-2016-10-07-om-16-11-12

Overigens kan dezelfde informatie van waarde zijn voor bijvoorbeeld de helpdesk. Zij kunnen hiermee snel analyseren waarom het account van een bepaalde gebruiker geblokkeerd is. Informatie is consistent over verschillende gebruikersgroepen heen omdat iedereen met dezelfde brondata werkt.

Door IP-adressen uit de logs te correleren aan locaties ontstaat een interessante security use case. Wordt er vaak ingelogd vanuit een verdachte locatie, bijvoorbeeld duizend kilometer verder op? Of wordt er bijvoorbeeld in korte tijd ingelogd op hetzelfde account vanaf verschillende locaties? Een account dat binnen een minuut wordt gebruikt vanaf een IP-adres in Limburg en een IP-adres in Berlijn kan duiden op misbruik.

Get Started with BIR/BIG

Voor klanten binnen de overheid heeft SMT een “Get Started with BIR/BIG” service ontwikkeld. Hierin richten wij log management in volgens artikel 10 van de BIR/G en bouwen wij binnen vijf dagen, samen met de klant, een eerste dashboard om zo de Baseline Informatiebeveiliging Rijksdiensten (of Gemeenten) na te leven (voor één use case) . Wilt u op eenzelfde laagdrempelige manier met BIR/BIG-compliance aan de slag? Neem gerust contact op!

 

Geplaatst door Ivar Postma op 31/10/2016, 13:37 0 reacties

Leave a Reply

Your email address will not be published. Required fields are marked *

*