Logbestanden spelen een sleutelrol in het detecteren van aanvallen en het afhandelen van incidenten. Door te zorgen dat applicaties en systemen voldoende loginformatie genereren, voorziet u uzelf van voldoende informatie.
- Bepaal welke logbestanden nodig zijn. Denk hierbij aan systeemlogging, netwerklogging, applicatielogging en cloudlogging.
- Zorg ervoor dat uw systemen de loginformatie doorsturen naar een centrale loggingserver, die alle logs verzamelt en (in combinatie met elkaar) analyseert. Zorg ervoor dat op deze centrale plek geen logbestanden kunnen worden aangepast en zet het systeem in een sterk afgeschermde omgeving.
- Gebruik geautomatiseerde loganalyses, waarvoor analyseregels worden gebruikt van een leverancier of community die deze doorlopend bijwerkt met de allerlaatste dreigingen. Op deze manier worden logbestanden gescand op onregelmatigheden die kunnen duiden op een beveiligingsincident.
- Maak een afweging over de bewaartermijn van logbestanden – deze moet passen bij zowel uw beveiligingsdoelen én wet- en regelgeving omtrent privacy. Zorg dat de manier waarop u met loginformatie omgaat, bijvoorbeeld als het gaat om gebruik en toegang, in lijn is met wet- en regelgeving en indien nodig is vastgelegd in (verwerkers)overeenkomsten met uw afnemers.