Independent. Dynamic. Involved.
nlen

Hoe bouw je een praktisch security-dashboard?

Door Kevin Kollen, technisch consultant bij Traxion.  

De werking van informatiesystemen is voor veel organisaties in zekere zin een black box. Bij het aanmelden van gebruikers gebeurt er van alles op de achtergrond. Wát precies wordt weliswaar opgeslagen in logbestanden, maar die zijn op zijn zachtst gezegd niet erg gebruiksvriendelijk. Met een security-dashboard is dat op te lossen.

Een security-dashboard biedt kort gezegd een visuele weergave van wat er binnen systemen gebeurt. Het voordeel daarvan spreekt voor zich: in plaats van lange tekstbestanden met loggegevens geeft een dashboard in één oogopslag weer wat er plaatsvindt of heeft -gevonden in een of meer systemen. Zo kun je bijvoorbeeld alle log-ins volgen, een overzicht genereren van errors binnen een bepaalde periode of gewoon met een rode of groene melding zien of een systeem up of down is.

Welk doel?

Bij het bouwen van een dashboard is het vaak verleidelijk om vooral te kijken naar de buitenkant. Dan loop je echter al snel het risico dat je weliswaar beschikt over een fraai vormgegeven dashboard, maar dat in de praktijk geen antwoord geeft op wat je wilt weten. Daarom is de eerste vraag die je moet stellen bij het ontwikkelen van een dashboard met welk doel je dit hulpmiddel bouwt. Op welke vraag of vragen moet een dashboard precies antwoord geven? Gaat het om availability, om security of misschien om het verzamelen van foutmeldingen? Daarnaast moet er ook nagedacht worden wie de doelgroep is en wat zij precies nodig hebben, zodat de doelstelling nauwkeurig te specificeren is. Zo kunnen er dashboards gemaakt worden voor de operatie, tactisch management, security management, maar ook strategisch management.

Welke data?

De keuzes die je maakt met betrekking tot je doel zijn ook bepalend voor de keuzes voor wat betreft de data die je gaat verzamelen. Informatiesystemen bieden de mogelijkheid tot het verzamelen van grote hoeveelheden logdata die lang niet allemaal relevant zijn voor een dashboard of andere doeleinden. De kunst is om op het gebied van data scherpe keuzes te maken, waarbij de relevante data wordt meegenomen, en de gevoelige data wordt geweerd. Dit kan alleen met diepgaande kennis van het systeem waar je de data uit wilt halen.

Welke output?

Een dashboard kan zoals gezegd verschillende doelen hebben. Dat is in de eerste plaats gewoon eenvoudige monitoring van bijvoorbeeld uptime of performance. Een tweede doel kan zijn het creëren van rapportages over de prestaties van een systeem, bijvoorbeeld ten behoeve van een externe klant of een afdeling. Tot slot kan een dashboard dienen als hulpmiddel bij het versturen van alerts of bij het starten van een script wanneer een bepaalde drempel wordt overschreden.

Wat levert een security-dashboard op? De belangrijkste meerwaarde ligt in de actuele situatie en de prestaties van een systeem. Een dashboard opent als het ware de black box van een platform en voorkomt dat je gedwongen bent om handmatig door allerlei loggegevens te ploegen om de gewenste informatie te vinden. Daar komt bij dat je problemen sneller kunt aanpakken, doordat je data op één plek verzamelt en daardoor gegevens uit verschillende systemen kunt correleren. Dat kan de probleemoplossing gemakkelijk versnellen en kan je security incidenten sneller detecteren dan wanneer je enkel naar de logs van één systeem kijkt. Bovendien kun je met historische data ook analyses en patroonherkenningsexercities uitvoeren over een langere periode. Met de uitkomsten daarvan kun je vervolgens systemen verder optimaliseren en afwijkingen van de normale situatie constateren.

Het bouwen van een security-dashboard begint bij goede kennis van de betreffende systemen. Daarmee is te bepalen welke data een systeem kan leveren en welke van die data relevant zijn om mee te nemen in een dashboard. Op die manier levert dit hulpmiddel veel praktische voordelen op en kan het voor veel rust zorgen binnen security operations centers, beheerafdelingen en verschillende management lagen. 

Dit blog is ook gepubliceerd op https://www.blogit.nl/praktisch-security-dashboard/.

Confidental Infomation