Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Innehållsförteckning

Table of Contents

...

Lösningsarkitektur

<Förklara de viktigaste aspekterna med lösningsarkitekturen>

...

Övergripande Designbeslut

Följande principiella beslut är tagna:

  • Loggkällor infrastruktur - Loggar ska skickas från respektive komponent till central logg kollektor enligt nedanstående punkter där funktionen är applicerbar.

    • Trafikloggar - Möjliggöra loggning av nätverkstrafik som flödar genom komponenten

    • Konfigurationsändringar - Möjliggöra spårbarhet av konfigurationsändringar i systemet.

    • Autentisering - Möjliggöra spårbarhet av access till komponent på nivåerna.

      • Ursprungs IP

      • Användarnamn

      • Status för inloggning (Success/failure)

      • Datum och tid

      • GEOIP

Generella loggprinciper för autentisering 

Logga - Loggar endast
Larma - Regel som triggar ett larm samt initierar åtgärd
Granska - Regelbunden granskning

Regel

Beskrivning

Action

Syfte

Användningsfall

Inloggningar

Loggar alla användarinloggningar

Logga

Spårbarhet

Alla typer av konton

Felaktiga inloggningar

Identifierar om ett tröskelvärde överstigs för antalet felaktiga inloggningar 

Logga, Larma, Granska

Identifiera pågående intrångsförsök

Konton med höga behörigheter

Toppar i felaktiga lösenord

Identifierar om ett tröskelvärde överstigs för antalet felaktiga inloggningar under en specifik tidsperiod. 

Logga, Larma, Granska

Identifiera pågående intrångsförsök

Alla typer av konton

Toppar i låsta konton

Identifierar om ett tröskelvärde överstigs för antalet låsta konton under en specifik tidsperiod. 

Logga, Larma, Granska

Identifiera pågående intrångsförsök

Alla typer av konton

Låsta konton

Identifierar vilka konton som blivit låsta

Logga, Granska

Alla typer av konton

Förändringar i privilegierade grupper

Loggar när förändringar sker i grupper som ger höga behörigheter

Logga, Larma, Granska

Active Directory grupper

Aktiviteter gjorda med privilegierade konton

Identifierar alla aktiviteter som är gjorda med konton med höga rättigheter

Logga

, Granska

a-xkonto, c-xkonto

Aktiviteter gjorda med lokala administratörskonton  

Identifierar alla aktiviteter som är gjorde med lokala administratörs konton

Logga, Granska

administrator, root

Aktiviteter gjorda med "super konton"

Identifierar alla aktiviteter som är gjorda med konton med väldigt höga rättigheter

Logga, Larma, Granska

Domain admin, Enterprise admin

Aktiviteter gjorda på domän kontrollanter 

Identifierar aktiviteter som är gjorda på domän kontrollanter

Logga, Larma, Granska

Domän kontrollanter

Övervakning av loggfunktionen

Loggarna övervakas genom att larm skickas om inte något anslutet system skickar loggar till Logpoint. Kontrollen görs idag vart 10 min. Larmen är definierade i Logpoints webbgränssnitt.
Larmen skicka skickas ut via e-post till IRT.

Beslut som behöver tas:

  • <Lista öppna frågor som kräver beslut>

Infrastrukturarkitektur

<Beskriv infrastrukturlösningen i text och bild. Infoga deploymentdiagramdeploymentdiagram>

Arkiv

Delar av arkitekturen som inte är relevanta är flyttade till <Arkivsida>.arkiveras, och hittas därefter under Archived pages - GU Arkitektur - Confluence (atlassian.net)

Definitioner

Begrepp

Förklaring

POP

Person- och organisationskatalogen

GU

Göteborgs universitet

...