Loggning
- Patrik Sällström (Unlicensed)
- Sara Jacobsson
Innehållsförteckning
Lösningsarkitektur
<Förklara de viktigaste aspekterna med lösningsarkitekturen>
Övergripande målsättningar med lösningsarkitekturen: (exempel nedan)
Övergripande Designbeslut
Följande principiella beslut är tagna:
Loggkällor infrastruktur - Loggar ska skickas från respektive komponent till central logg kollektor enligt nedanstående punkter där funktionen är applicerbar.
Trafikloggar - Möjliggöra loggning av nätverkstrafik som flödar genom komponenten
Konfigurationsändringar - Möjliggöra spårbarhet av konfigurationsändringar i systemet.
Autentisering - Möjliggöra spårbarhet av access till komponent på nivåerna.
Ursprungs IP
Användarnamn
Status för inloggning (Success/failure)
Datum och tid
GEOIP
Generella loggprinciper för autentisering
Logga - Loggar endast
Larma - Regel som triggar ett larm samt initierar åtgärd
Granska - Regelbunden granskning
Regel | Beskrivning | Action | Syfte | Användningsfall |
|---|---|---|---|---|
Inloggningar | Loggar alla användarinloggningar | Logga | Spårbarhet | Alla typer av konton |
Felaktiga inloggningar | Identifierar om ett tröskelvärde överstigs för antalet felaktiga inloggningar | Logga, Larma, Granska | Identifiera pågående intrångsförsök | Konton med höga behörigheter |
Toppar i felaktiga lösenord | Identifierar om ett tröskelvärde överstigs för antalet felaktiga inloggningar under en specifik tidsperiod. | Logga, Larma, Granska | Identifiera pågående intrångsförsök | Alla typer av konton |
Toppar i låsta konton | Identifierar om ett tröskelvärde överstigs för antalet låsta konton under en specifik tidsperiod. | Logga, Larma, Granska | Identifiera pågående intrångsförsök | Alla typer av konton |
Låsta konton | Identifierar vilka konton som blivit låsta | Logga, Granska |
| Alla typer av konton |
Förändringar i privilegierade grupper | Loggar när förändringar sker i grupper som ger höga behörigheter | Logga, Larma, Granska |
| Active Directory grupper |
Aktiviteter gjorda med privilegierade konton | Identifierar alla aktiviteter som är gjorda med konton med höga rättigheter | Logga |
| a-xkonto, c-xkonto |
Aktiviteter gjorda med lokala administratörskonton | Identifierar alla aktiviteter som är gjorde med lokala administratörs konton | Logga, Granska |
| administrator, root |
Aktiviteter gjorda med "super konton" | Identifierar alla aktiviteter som är gjorda med konton med väldigt höga rättigheter | Logga, Larma, Granska |
| Domain admin, Enterprise admin |
Aktiviteter gjorda på domän kontrollanter | Identifierar aktiviteter som är gjorda på domän kontrollanter | Logga, Larma, Granska |
| Domän kontrollanter |
Övervakning av loggfunktionen
Loggarna övervakas genom att larm skickas om inte något anslutet system skickar loggar till Logpoint. Kontrollen görs idag vart 10 min. Larmen är definierade i Logpoints webbgränssnitt.
Larmen skicka skickas ut via e-post till IRT.
Beslut som behöver tas:
<Lista öppna frågor som kräver beslut>
Infrastrukturarkitektur
<Beskriv infrastrukturlösningen i text och bild. Infoga deploymentdiagram>
Arkiv
Delar av arkitekturen som inte är relevanta arkiveras, och hittas därefter under Archived pages - GU Arkitektur - Confluence (atlassian.net)
Definitioner
Begrepp | Förklaring |
|---|---|
POP | Person- och organisationskatalogen |
GU | Göteborgs universitet |
|
|