Logbestanden spelen een sleutelrol in het detecteren van aanvallen en het afhandelen van incidenten. Door te zorgen dat applicaties en systemen voldoende loginformatie genereren voorziet u uzelf van voldoende informatie.
Bepaal welke logbestanden nodig zijn. Denk hierbij aan systeemlogging, netwerklogging, applicatielogging en cloudlogging. Stel waar nodig alertering in. Denk bijvoorbeeld aan notificaties van verdachte inlogpogingen op basis van een analyse van logbestanden. Zorg dat uw systemen logbestanden in een bruikbaar bestandsformaat opslaan, en dat de opgenomen tijdsinformatie nauwkeurig en in de juiste tijdzone gesteld is.
Maak een afweging over de bewaartermijn van logbestanden. Als u logbestanden lang bewaart, kunt u ook veel later bij incidenten achterhalen wat er is gebeurd. Aan de andere kant bevatten logbestanden mogelijk privacygevoelige informatie en nemen ze opslagruimte in beslag.
Beperk de toegang tot logbestanden en sla deze op in een apart netwerksegment. Incidentenonderzoek is nauwelijks mogelijk als aanvallers de logbestanden hebben kunnen aanpassen of verwijderen.