Tradisjonelt har loggdata fra brannmurer, IDS-er, rutere og svitsjer (syslog) blitt håndtert individuelt. Utviklingen i dagens trusselbilde gjør det imidlertid nødvendig å analysere hendelser og alarmer fra flere nettverkselementer og applikasjoner mer koordinert.

Hva er logganalyse

Logganalyse fra Telenor gir analyse og korrelasjon av meldinger og loggdata fra maskinvare og applikasjoner. Med logganalyse-tjenesten får du en mer fullstendig forståelse av sikkerhetshendelser; evnen til å oppdage trusler og angrep øker, og antallet falske positiver reduseres. Logganalyse er en plattformuavhengig og fleksibel løsning som kan skreddersys din bedrifts ønskede sikkerhetsnivå. 

Rapporteringen til kunden distribueres enten via e-post etter bestemte intervaller, eller gjennom TSOC’s kundeportal. Rapportene er oversiktlige og viser hendelser, loggkilder og volum, trender og utvikling, statistikk/hendelses-dashbord og informasjon om tjenesten.

Fordeler med logganalyse

  • Loggdata blir analysert og korrelert av Telenors eksperter med lang erfaring og som kjenner sårbarhetene, hackingmetodene og trusselbildet svært godt
  • Du kan i samarbeid med oss konfigurere tjenesten etter din bedrifts ønsker og behov
  • Tjenesten tilbyr kundetilpassede rapporter
  • Logganalyse beskytter mot hackerangrep og uønskede aktiviteter i nettverket eller mot utstyr
  • Telenors eksperter er operative 24/7/365 i sikkerhetssenteret TSOC (Telenor Security Operations Centre)
  • Løsningen er fleksibel og kan integreres mot en rekke forskjellige typer utstyr og loggkilder
Holde deg oppdatert på IT-sikkerhet

Abonnér på vårt nyhetsbrev og motta nyttig informasjon i innboksen én gang i måneden

Detaljert informasjon om løsningen

Her finner du utfyllende informasjon om logganalyse levert av Telenor

i

Standardkonfigurasjon

Standard lagringskapasitet er basert på daglig mengde indekserte data, korrelert og visualisert med triage- og analysefunksjoner, og opptil 6 måneder med historiske data. Andre lagringsintervaller kan avtales avhengig av individuelle kundebehov. Også inkludert i tjenesten er 5 konsulenttimer per måned som kan brukes til analyse, skadebegrensning, triage eller sikkerhetsledelse. For ytterligere hjelp kan det være mulig å kjøpe flere timer som ekstra konsulentoppdrag, med forbehold om tilgjengelighet.

i

Operasjonelle prinsipper

Innhentede loggdata vil bli analysert for å verifisere vurderingene som gjøres på Telenors produksjonsplattformer Splunk og TIRP (Telenor Incident Response Platform). Retensjonspolicyer vil bli fastsatt for de forskjellige loggkildene i henhold til kundens krav. 

Logganalyseløsningen har et sett med forhåndsdefinerte regler for varsling av kjente sikkerhetshendelser. I samarbeid med kunden vil Telenor lage nye varslingsregler for kundespesifikke sikkerhetsutfordringer, og tilpasse seg logger fra alle spesielle systemer. 

Det grunnleggende detaljeringsnivået er basert på et lagringsintervall på seks måneder med historiske data. Når ny kunnskap er tilgjengelig ifht angrepsvektorer, sikkerhetssignaturer o.l., vil TSOC utføre oppdatert logganalyse på historiske loggdata. Historiske loggdata vil også bli brukt når nye trusler og scenarier oppstår, for bedre å kunne forstå hendelsesforløp, og også for å kunne avgjøre om de samme angrepsteknikkene har blitt benyttet tidligere.

i

Tilganger

Logganalyseløsningen er avhengig av Splunk forwardfunksjonalitet internt i kundens nett. Eierskap og ansvar for drift og vedlikehold av disse ligger hos kunden, og Telenor vil ikke ha administrativ tilgang til disse. Forwarderene vil motta og videresende loggtrafikk fra interne ‘hoster’ i kundens nettverk til TSOC gjennom sikre protokoller som HTTPS/SSL. 

Telenor må kunne kommunisere med nettverkssensorer og Splunk-forwardere på kundelokasjon, og eksisterende Telenor Nordic Connect-tilganger på kundens lokasjon kan eventuelt benyttes til dette formålet ved å etablere separate grensesnitt/soner/VPN’er for denne kommunikasjonen. Nordic Connect -aksesser kan konfigureres med tilstrekkelig høy SLA/tilgjengelighet. Telenor krever ikke tilgang til kundens eksisterende fjerntilgangsløsning for å få tilgang til nettverkselementene.

i

Innsamlede data

Filtrering av data kan utføres i en kundespesifikk splunkinstallasjon lokalisert i Telenors lokaler, før de går til logganalyse og lagring. Alle loggkilder vil bli normalisert til å bli opp mot felles standard, primært Splunks felles informasjonsmodell (CIM), slik at også krysskorrelering enklere kan utføres.

i

Deteksjon av mistenkelig aktivitet

Logganalyse-plattformen bruker flere forskjellige kilder og teknikker for å detektere skadelig aktivitet. Systemet analyserer kommunikasjon mellom forskjellige parter, hvor enhver unormalitet i kommunikasjonsadferd vil føre til dypere inspeksjon. Korrelasjonssøk mellom datakilder styrker analytikerens kapabilitet når det oppdages og analyseres hendelser. Med flere informasjonskilder har analytikeren et bredt utvalg muligheter tilgjengelig for både automatisk og manuell gjenkjenning og verifisering.

i

Validering av sikkerhetshendelser

Dersom ikke-normal aktivitet blir avdekket av Telenors automatiserte plattform, blir det presentert et sett varsler for analytikeren. For å vurdere om den mistenkelige aktiviteten er skadelig, kan analytikeren så benytte verktøy som raskt kartlegger om det også finnes andre relaterte hendelser. Datagrunnlaget berikes automatisk i bakgrunnen, og analytikerne kan innhente og analysere informasjon fra alle tilgjengelige kilder for å kunne validere hendelsene korrekt. Plattformen har innebygd grafisk visualisering, som gir analytikerne en unik oversikt, og mulighet til bedre å forstå omfanget av hendelsene.

i

Trendanalyse

Flere av korrelasjonssøkene som brukes i logganalysetjenesten er utformet for å avdekke endringer i oppførsel/aktivitet over tid. Den innebygde visualiseringen av hendelsesvisningen i plattformen vil derfor også bli brukt til trendanalyse.

i

Lagring av data

Datagrunnlag vil normalt bli lagret i seks måneder. Lagringen skal være i samsvar med POL (Personopplysningsloven) og GDPRkrav, og avtales som en del av kontrakten med kunden. Se for øvrig punkt lenger ned.

i

Trusselhåndtering

Hvis en detektert hendelse anses å være en trussel, vil Telenor varsle ihht til det som er avtalt med kunde. Et angrep kan da ofte begrenses og avverges i samarbeid mellom Telenor og kunde. Noen angrep kan stoppes ved å lede trafikken via en enhet kalt TMS (Threat Management System). Ved å bruke spesielle regler for å filtrere ut angripende trafikk fra normal trafikk, vil den da kunne fjernes før den når kundens nettverk. Det er definert tre alvorlighetsgrader for detekterte sikkerhetshendelser:

  • Røde hendelser defineres som angrep, eller forsøk på angrep, som gir umiddelbar fare for kundens nettverk og nettverkstjenester, samt systemer som allerede er kompromittert eller er i umiddelbar fare for å bli kompromittert.
  • Oransje hendelser er definert som angrep eller forsøk på angrep, som kan føre til at systemene blir kompromittert hvis det ikke gjøres noe innen rimelig tid.
  • Gule hendelser er mindre alvorlige aktiviteter, skanner, o.l. Disse hendelsene gir viktige tidlige advarsler, samt grunnlag for kontinuerlige forbedringer i sikkerhetsarbeidet og forebyggende aktiviteter. 
To prosedyrer for rapportering inngår i tjenesten; én for normale rapporter (dvs. månedlig sammendrag) og én for alvorlige hendelser. Rapportering av hendelser vil skje mot de kontaktpunktene som er forhåndsavtalt med kunde.
i

Loggkilder

Telenors plattform for logganalyse støtter følgende generiske plattformer: 

Brannmurer, AD / Windows Event Logs, IDS, Rutere/Svitsjer, Proxy / Web Content Gateway, Antivirusløsninger, DHCP, DNS, Flow. Ytterligere loggkilder kan legges til ved behov og på forespørsel. Loggsystemet kan i utgangspunktet håndtere de aller fleste loggkilder, med noen tilpasninger, og generelt er Telenors loggplattform designet for å håndtere alle typer logger. 

Telenor anbefaler følgende rekkefølge for integrasjon av sikkerhetsdomener: 

  1. AD / Windows Event Logs 
  2. IDS 
  3. Brannmurer 
  4. Rutere og svitsjer
i

Telenors behandling av personopplysninger i tilknytning til tjenesten

Telenors leveranse av ‘Logganalyse’ (Tjenesten) innebærer behandling av personopplysninger på vegne av kunden. For denne Tjenesten er Telenor databehandler, og kunden er behandlingsansvarlig under personopplysningsloven. 

Når Telenor er databehandler på vegne av kunden er behandlingen av personopplysninger regulert av særskilte databehandlervilkår. Databehandlervilkårene fremgår av punktet Behandling av personopplysninger, jf. punkt 22 i Generelle vilkår i Telenors Tjenesteavtale eller annen særskilt forhandlet tjenesteavtale (for kunder som har forhandlet en kundespesifikk avtale med Telenor), eller punkt 9 i Alminnelige vilkår for bedrifter for øvrige kunder. 

For tjenester og/eller prosesser hvor Kunden delvis eller i sin helhet er behandlingsansvarlig er det Kundens ansvar å sikre lovlig formål og rettslig grunnlag (hjemmel) for behandlingen av personopplysninger. Kunden skal også sikre at egne brukere av Tjenesten er informert om Tjenesten og hvordan denne fungerer. Endelig har Kunden ansvar for at abonnement som skal ha Tjenesten er registrert hos Telenor med korrekt navn på Bruker. 

Oversikten under inneholder opplysninger som er av relevans for Partenes oppfølgning av databehandlervilkårene.

Vis alle