NOVINKA: Začni v IT jako webmaster s komplexním akreditovaným online kurzem Tvůrce WWW stránek. Zjisti více:
NOVINKA: Staň se datovým analytikem od 0 Kč a získej jistotu práce, lepší plat a nové kariérní možnosti. Více informací:

Lekce 26 - Monitoring a log management v kyberbezpečnosti Nové

Předchozí
Další

V předchozí lekci, Návrh a implementace síťové segmentace v praxi, jsme si ukázali, jak můžeme navrhnout síťovou segmentaci v praxi

V tomto tutoriálu kyberbezpečnosti si vysvětlíme, jak pomocí monitoringu a log managementu získat přehled o dění v IT systémech a včas rozpoznat bezpečnostní incidenty. Zaměříme se na to, proč je logování klíčovým nástrojem při správě infrastruktury a jak pomáhá odhalovat neoprávněné přístupy, chyby i pokusy o útok.

Ukážeme si, jak funguje aktivní monitoring, který sleduje systémy v reálném čase a automaticky vyhodnocuje podezřelé události prostřednictvím alertů. Představíme si také SIEM systémy, které propojují monitoring a logování do jednotného řešení a umožňují analýzu dat z různých zdrojů v rámci celé organizace.

Na závěr si shrneme zásady efektivního log managementu a vysvětlíme, proč jsou dobře nastavené záznamy nezbytné pro úspěšné řešení incidentů i pro splnění požadavků bezpečnostních auditů.

Monitoring a log management

V předchozích lekcích jsme se seznámili s pojmy jako šifrování, firewall nebo segmentace sítě. Všechny tyto technologie mají jeden společný cíl – chránit data a infrastrukturu před neoprávněným přístupem nebo útokem. I když máme nasazené ty nejlepší technologie, pořád se může stát, že dojde k bezpečnostnímu incidentu.

Právě tehdy přichází ke slovu monitoring a logování, které poskytují přehled o tom, kdy, jak a proč došlo k určité události. Bez informací o tom, jak systém reagoval nebo kdo provedl konkrétní akci, by správce systému pracoval naslepo. Monitoring a logování tak představují základní zdroj pravdivých dat o chování infrastruktury, bez nichž není možné spolehlivě odhalit příčinu incidentu ani vyhodnotit jeho dopad.

Na následujícím obrázku vidíme ukázku webového rozhraní nástroje pro log management, který zobrazuje přehled zaznamenaných událostí, jejich zdroje a úrovně závažnosti. Takové rozhraní nám umožňuje rychle identifikovat anomálie a reagovat na vznikající problémy v reálném čase:

Ukázka log management softwaru - Kybernetická bezpečnost a NIS2

Logování a jeho význam

Každý informační systém provádí neustále množství činností – uživatelé se přihlašují, mění nastavení, spouštějí aplikace, probíhají aktualizace i komunikace s dalšími službami. Pokud bychom tyto události nijak nezaznamenávali, nebylo by možné zpětně zjistit, co přesně se stalo v případě chyby, výpadku nebo útoku.

Logování představuje proces, při kterém si systém vytváří vlastní záznam událostí (logy).

Z logů lze například zjistit:

  • kdo a kdy se přihlásil do systému,
  • jaká IP adresa přistupovala k webové aplikaci,
  • zda došlo k chybě při spouštění služby,
  • kdy byl nainstalován nový software,
  • kolikrát došlo k neúspěšnému pokusu o přístup.

Logy tedy nejsou jen "technickým deníkem", ale klíčovým prvkem řízení bezpečnosti. Umožňují rekonstruovat události i dlouho po jejich vzniku, odhalit pokusy o neoprávněný přístup a posílit odpovědnost uživatelů při práci se systémy.

Monitoring jako aktivní bezpečnostní nástroj

Zatímco logování funguje jako pasivní proces (systém pouze zaznamenává informace), monitoring představuje aktivní sledování systémů, aplikací a zařízení v reálném čase. Cílem monitoringu je nejen sběr dat, ale i jejich okamžité vyhodnocení.

Pokud systém detekuje něco neobvyklého, může na to okamžitě upozornit administrátory nebo automaticky spustit obranný mechanismus.

Představme si situaci, kdy firewall zaznamená neobvykle vysoký počet požadavků z jedné IP adresy během krátkého časového intervalu. Monitoring tuto aktivitu vyhodnotí jako možný DDoS útok a automaticky danou adresu zablokuje. Stejný princip lze použít i pro kontrolu výkonu serverů, dostupnosti služeb nebo změn konfigurací.

Monitoring se běžně používá pro:

  • sledování výkonu serverů a služeb,
  • detekci bezpečnostních incidentů,
  • dohled nad síťovým provozem,
  • správu dostupnosti a stavu aplikací,
  • sledování přístupů a aktivity uživatelů.

Moderní monitoring využívá strojové učení a analýzu chování, díky nimž rozpozná i nové hrozby. Představuje tak klíčový prvek aktivní obrany a základ pro systémy SIEM.

Centrální nástroje analýzy (SIEM)

Monitoring a logování generují velké množství dat z různých zdrojů. Aby mělo jejich vyhodnocování skutečný přínos, je nutné tyto informace centralizovat a analyzovat v souvislostech. K tomu slouží nástroje označované jako SIEMSecurity Information and Event Management.

SIEM kombinuje funkce log managementu a monitoringu do jednoho systému. Sbírá logy ze serverů, síťových prvků, bezpečnostních zařízení i aplikací a umožňuje jejich jednotnou analýzu. Díky tomu dokáže odhalit vzorce chování, které mohou znamenat hrozbu.

Ilustrační obrázek SIEM systémů - Kybernetická bezpečnost a NIS2

Představme si situaci: v 10:00 proběhne několik neúspěšných přihlášení k firemnímu e-mailu, o tři minuty později z téže IP adresy přichází požadavek na přístup k databázi zákazníků a krátce poté dojde ke změně nastavení firewallu. Každá událost samostatně nemusí působit nebezpečně, ale SIEM je dokáže propojit do jednoho scénáře útoku a upozornit bezpečnostní tým dříve, než dojde k poškození systému.

SIEM systémy poskytují správcům přehledné prostředí pro:

  • centrální sběr a ukládání logů,
  • normalizaci a filtrování dat,
  • vyhledávání a korelaci událostí,
  • vytváření alertů a bezpečnostních pravidel,
  • generování reportů pro vedení nebo audity.

SIEM systémy navíc uchovávají podrobné auditní logy, které dokumentují činnost uživatelů i změny v konfiguraci. Tyto záznamy jsou klíčové pro vyšetřování incidentů, bezpečnostní audity i ověřování souladu s předpisy, jako jsou ISO 27001 nebo NIS2.

Alerty a reakce systému

Alerty informují o událostech, které systém vyhodnotí jako rizikové, například opakované neúspěšné přihlášení, přístup z neznámé země, pokus o instalaci nepovolené aplikace nebo přihlášení mimo běžnou pracovní dobu. V nástroji pro log management jsou pak zobrazeny identifikované hrozby a přiřazená závažnost:

Detekce útoků v nástroji pro log management - Kybernetická bezpečnost a NIS2

Když SIEM nebo monitorovací nástroj rozpozná takovou událost, může odeslat e-mailové upozornění, zobrazit varování v administračním panelu nebo rovnou spustit automatickou reakci.

Nástroje pro monitoring a logy

Moderní infrastruktura vytváří velké množství logů, které je nutné centrálně shromažďovat a vyhodnocovat. K tomu slouží různé nástroje pro monitoring a analýzu událostí. Níže uvádíme přehled nejčastěji používaných řešení.

ELK stack a Wazuh

ELK stack (Elasticsearch, Logstash, Kibana) je oblíbené open-source řešení pro sběr, ukládání a vizualizaci logů. Umožňuje vytvářet přehledné dashboardy, vyhledávat události a analyzovat vývoj v čase.

Na tomto základu staví Wazuh, rozšíření, které přidává pokročilé bezpečnostní funkce – detekci hrozeb, monitoring integrity souborů a správu přístupových politik. Díky tomu se z klasického log systému stává komplexní bezpečnostní řešení (SIEM).

Splunk

Splunk je komerční řešení určené pro rozsáhlé infrastruktury, které vyžadují okamžité zpracování dat. Nabízí výkonné vyhledávání, analytické funkce, přehledné vizualizace a možnosti automatické reakce na zjištěné události. Díky škálovatelnosti se často používá ve velkých podnicích a institucích.

Graylog

Graylog představuje open-source alternativu zaměřenou na jednoduché nasazení a přehlednost. Poskytuje funkce pro korelaci událostí, generování alertů a vizualizaci dat. Vhodně kombinuje přehledné rozhraní s dostatečnou flexibilitou pro menší a středně velké organizace.

Při výběru nástroje je vhodné zohlednit rozsah infrastruktury, počet zdrojů logů i požadavky na hloubku analýzy a automatizaci.

Zásady efektivního log managementu

Efektivní log management znamená pracovat s daty cíleně a systematicky. Cílem není shromažďovat co nejvíce informací, ale získat záznamy, které mají skutečnou hodnotu pro správu a bezpečnost systému. Nadbytečné logy vedou jen k zahlcení úložiště a ztěžují analýzu.

Logy je vhodné centralizovat – ukládat je do jednoho systému, který dokáže data z různých zdrojů přehledně zpracovat. Tím se zjednoduší správa i vyhledávání a zajistí jednotný přístup k informacím. Stejně důležité je logy pravidelně vyhodnocovat, nejen je pasivně ukládat. Průběžná analýza pomáhá odhalit chyby, anomálie i známky útoku dříve, než ovlivní provoz.

Dalším klíčovým principem je ochrana logů. Útočníci se často snaží záznamy mazat nebo měnit, aby skryli své stopy. Proto je nutné zajistit jejich neporušenost – například pomocí kontrolních součtů nebo odděleného úložiště.

Monitoring a logování fungují jako bezpečnostní radar i paměť systému – nepřetržitě sledují dění v infrastruktuře, uchovávají důležité záznamy a poskytují spolehlivé podklady pro analýzu, audit i strategické rozhodování.

V následujícím kvízu, Kvíz - Kybernetická bezpečnost, si vyzkoušíme nabyté zkušenosti z kurzu.


 

Předchozí článek
Návrh a implementace síťové segmentace v praxi
Všechny články v sekci
Kybernetická bezpečnost a NIS2
Přeskočit článek
(nedoporučujeme)
Kvíz - Kybernetická bezpečnost
Článek pro vás napsal Max Snítil
Avatar
Uživatelské hodnocení:
Ještě nikdo nehodnotil, buď první!
.
Aktivity