| |

IBM i:n tapahtumien valvonta SIEM:n avulla

Organisaatioilta edellytetään yhä parempaa tietoturvariskien havainnointia, hallintaa sekä kykyä selvittää tapahtumaketjut lokien avulla. Tämä koskee myös IBM i:n valvontaa sekä lokienhallintaa.

Riskit on tunnistettava ja niihin on varauduttava. Poikkeamat on myös pystyttävä havaitsemaan mahdollisimman nopeasti.

IBM i:n lokitiedot ja journalit sisältävät runsaasti järjestelmän ja sovellusten toimintaan liittyviä yksityiskohtia.

Näiden tietojen kerääminen on välttämätöntä paitsi tietoturvan seurannan ja hallinnan näkökulmasta mutta myös asetusten noudattamisen todentamisessa ja forensiikassa.

IBM i – mitä seurata

Olennaisia tapahtumia seurata ovat esimerkiksi:

  • Järjestelmän arvojen muutokset
  • Käyttäjäprofiileihin liittyvä tapahtumat
  • Epäonnistuneet tunnistautumiset
  • Tietojen salaus ja salauksen purku
  • Arkaluonteisten tietojen siirtäminen verkon kautta

IBM i:n lokilähteet, muodostavat yhdessä kattavan kirjausketjun muutoksista. Tärkeimpiä ja informatiivisimpia lokilähteitä ovat muun muassa seuraavat:

System Audit Journal (QAUDJRN) – sisältää tietoja, jotka liittyvät tietoturvaan vaikuttaviin tapahtumiin, kuten järjestelmäarvojen, objektien auktoriteettien, profiilien, valtuutusluetteloiden, objektien käyttöyritysten ja muiden arvojen muutoksiin.

Operaattorin viestit (QSYSOPR Message Queue) – sisältää hälytyksiä, jotka ilmoittavat operaattorille huomiota vaativasta tilasta tai ympäristössä tapahtuneista muutoksista.

Järjestelmä- ja sovellusviestit (QSYSMSG-viestijono) – viestijono, joka antaa hälytyksiä erittäin tärkeistä järjestelmätapahtumista, kuten virheelliset kirjautumisyritykset. Viestijonon tapahtumien seuranta on erittäin suositeltavaa.

QHST History Log (QHST-historialoki) – viestijono, joka sisältää useita fyysisiä tiedostoja. Nämä tiedostot sisältävät luettelon viesteistä ja tietoa IBM i:n töiden tilasta.

Nämä neljä lokilähdettä tarjoavat keskeisimmät tiedot, joita tarvitaan ympäristön poikkeamien tehokkaaseen seurantaan sekä hälytysten ja raporttien luomiseen.

IBM i ja SIEM

Valitun valvonta- ja raportointiratkaisun on kyettävä suodattamaan ja poimimaan tehokkaasti vain todella olennaiset tiedot kaikista lokitiedoista ja reaaliaikaisista valvontatietovirroista.

Tietoa on paljon ja se on hankalasti ymmärrettävää alkuperäisessä muodossaan. Keskeisten lokien sisältämien tietojen löytäminen ja ymmärtäminen niiden alkuperäisessä muodossa on haastavaa.

Valitun ratkaisun on voitava nopeasti tunnistaa tärkeät tapahtumat ja kriittiset poikkeamat ja luoda niistä hälytyksiä.

SIEM-ratkaisujen arvokkain hyöty on tarjota kattava, koko yrityksen laajuinen reaaliaikainen kuva tapahtumista

IBM i -järjestelmän lokitietojen tuominen sellaisenaan yrityksen SIEM-alustaan voi olla haasteellista, koska lokilähteiden kirjo on laaja, niiden omat tietomuodot ovat monimutkaisia ja tietojen analysointi ja integrointi vaatii erikoisosaamista.

Jotta IBM i:n lokitietoja voidaan valvoa, on ne pystyttävä välittämään SIEM-järjestelmään reaaliaikaista analysointia varten. IBM i:tä valvottaessa on pystyttävä automatisoimaan lokilähteiden analysointi sekä raporttien ja hälytysten tuottaminen.

Ympäristöstä riippuen voimme suositella erilaisia ratkaisuja IBM i:n lokitietojen hallintaan ja valvontaan. Light SOC ja SIEM käsittelee IBM i lokeja oletuksena.

Göran Nordman, IBM-teknologiat, Kaita Finland