Logkonsolidering
I Neosec Security server er der indbygget central logkonsolidering. Neosec security server fungerer som syslog server for netværks udstyr og unix baserede systemer. Neosec Security server håndtere også windows eventlogs, der opsamles agentløst via WMI eller via den agent baserede Windows Agent.
For at få det bedste ud af logkonsolidering, bør man følge disse punkter.
NTP
NTP, Network Time Protocol. For at få det bedste ud af central loggnin er at man har samme tid på alle enheder.
NTP sikrer at alle log events på tværs af systemer er synkroniseret. Dette gør at man bedre kan fejlfinde på tværs af enheder når de har samme tid.
Ved Neosec, bliver tiden sat centralt i Neosec serveren. Neosec benytter ikke tiden fra log filerne. Det vil sige at når der komme en event til Neosec bliver den stemplet med den tid der er når den ankommer. Dette sikrer på samme måde med NTP at tiden er synkron ved fejlfinding.
Data Retention
Hvor længe vil du beholde data. Data fylder meget hvis man beholder alle log data.
En god regel er at holde minimum 365 dages log, hvis der er krav til at man skal holde det længere kan man benytte sig af log arkivering. I Neosec er log arkivering automatisk sat til at arkivere logfilerne hver dag. De bliver ZIPet og sendt til den oprettede arkiv folder.
Data i databasen bliver håndteret af Data Retention perioden. Som standard er den sat til at gemme data i databasen i 365 dage. Herefter slettes data.
Der kører et job hver dag som sletter data.
Event Filtre
Med event filtre kan man definere hvad man gerne vil gemme i databasen. Som standard gemmes alle data i rå logfiler som efterfølgende bliver arkiveret. Men det er kun udvalgte events der bliver gemt i databasen.
Backup
Sørg for at der er defineret en backup strategi for din log løsning. Som standard bør man lave inkremmental backup hver dag. Som standard bør man have en offsite kopi af backuppen.
Sikkerhedspolitik
Da man nu ligger inde med en masse data centralt, bør man lave en sikkerheds politik der gør at det kun er udvalgte der kan tilgå overvågning data og logs. I Neosec Security Server skal man have et brugernavn og password for at benytte systemet. Der er audit på de personer der har adgang til systemet via klienterne. Sørg for at selve serveren hvor Neosec Security server er installeret, er beskyttet mod uvedkommende.