Mikuláš je tu! Získaj 90 % extra kreditov ZADARMO s promo kódom CERTIK90 pri nákupe od 1 199 kreditov. Len do nedele 7. 12. 2025! Zisti viac:
NOVINKA: Najžiadanejšie rekvalifikačné kurzy teraz s 50% zľavou + kurz AI ZADARMO. Nečakaj, táto ponuka dlho nevydrží! Zisti viac:

25. diel - Monitoring a log management v kyberbezpečnosti Nové

Predchádzajúci
Ďalší

V predchádzajúcej lekcii, Návrh a implementácia sieťovej segmentácie v praxi , sme si ukázali, ako môžeme navrhnúť sieťovú segmentáciu v praxi

V tomto tutoriále kyberbezpečnosti si vysvetlíme, ako pomocou monitoringu a log manažmentu získať prehľad o dianí v IT systémoch a včas rozpoznať bezpečnostné incidenty. Zameriame sa na to, prečo je logovanie kľúčovým nástrojom pri správe infraštruktúry a ako pomáha odhaľovať neoprávnené prístupy, chyby aj pokusy o útok.

Ukážeme si, ako funguje aktívny monitoring, ktorý sleduje systémy v reálnom čase a automaticky vyhodnocuje podozrivé udalosti prostredníctvom alertov. Predstavíme si tiež SIEM systémy, ktoré prepájajú monitoring a logovanie do jednotného riešenia a umožňujú analýzu dát z rôznych zdrojov v rámci celej organizácie.

Na záver si zhrnieme zásady efektívneho log manažmentu a vysvetlíme, prečo sú dobre nastavené záznamy nevyhnutné pre úspešné riešenie incidentov aj pre splnenie požiadaviek bezpečnostných auditov.

Monitoring a log management

V predchádzajúcich lekciách sme sa zoznámili s pojmami ako šifrovanie, firewall alebo segmentácia siete. Všetky tieto technológie majú jeden spoločný cieľ – chrániť dáta a infraštruktúru pred neoprávneným prístupom alebo útokom. Aj keď máme nasadené tie najlepšie technológie, stále sa môže stať, že dôjde k bezpečnostnému incidentu.

Práve vtedy prichádza k slovu monitoring a logovanie, ktoré poskytujú prehľad o tom, kedy, ako a prečo došlo k určitej udalosti. Bez informácií o tom, ako systém reagoval alebo kto vykonal konkrétnu akciu, by správca systému pracoval naslepo. Monitoring a logovanie tak predstavujú základný zdroj pravdivých dát o správaní infraštruktúry, bez ktorých nie je možné spoľahlivo odhaliť príčinu incidentu ani vyhodnotiť jeho dopad.

Na nasledujúcom obrázku vidíme ukážku webového rozhrania nástroja pre log management, ktorý zobrazuje prehľad zaznamenaných udalostí, ich zdroje a úrovne závažnosti. Takéto rozhranie nám umožňuje rýchlo identifikovať anomálie a reagovať na vznikajúce problémy v reálnom čase:

Ukážka log management softvéru - Kybernetická bezpečnosť - Kybernetická bezpečnosť

Logovanie a jeho význam

Každý informačný systém vykonáva neustále množstvo činností – používatelia sa prihlasujú, menia nastavenia, spúšťajú aplikácie, prebiehajú aktualizácie aj komunikácia s ďalšími službami. Ak by sme tieto udalosti nijako nezaznamenávali, nebolo by možné spätne zistiť, čo presne sa stalo v prípade chyby, výpadku alebo útoku.

Logovanie predstavuje proces, pri ktorom si systém vytvára vlastný záznam udalostí (logy).

Z logov je možné napríklad zistiť:

  • kto a kedy sa prihlásil do systému,
  • aká IP adresa pristupovala k webovej aplikácii,
  • či došlo k chybe pri spúšťaní služby,
  • kedy bol nainštalovaný nový softvér,
  • koľkokrát došlo k neúspešnému pokusu o prístup.
Logy teda nie sú len "technickým denníkom", ale kľúčovým prvkom riadenia bezpečnosti. Umožňujú rekonštruovať udalosti aj dlho po ich vzniku, odhaliť pokusy o neoprávnený prístup a posilniť zodpovednosť užívateľov pri práci so systémami.

Monitoring ako aktívny bezpečnostný nástroj

Zatiaľ čo logovanie funguje ako pasívny proces (systém iba zaznamenáva informácie), monitoring predstavuje aktívne sledovanie systémov, aplikácií a zariadení v reálnom čase. Cieľom monitoringu je nielen zber dát, ale aj ich okamžité vyhodnotenie.

Pokiaľ systém detekuje niečo neobvyklé, môže na to okamžite upozorniť administrátorov alebo automaticky spustiť obranný mechanizmus.

Predstavme si situáciu, kedy firewall zaznamená neobvykle vysoký počet požiadaviek z jednej IP adresy počas krátkeho časového intervalu. Monitoring túto aktivitu vyhodnotí ako možný DDoS útok a automaticky danú adresu zablokuje. Rovnaký princíp je možné použiť aj na kontrolu výkonu serverov, dostupnosti služieb alebo zmien konfigurácií.

Monitoring sa bežne používa pre:

  • sledovanie výkonu serverov a služieb,
  • detekciu bezpečnostných incidentov,
  • dohľad nad sieťovou prevádzkou,
  • správu dostupnosti a stavu aplikácií,
  • sledovanie prístupov a aktivity užívateľov.
Moderný monitoring využíva strojové učenie a analýzu správania, vďaka ktorým rozpozná aj nové hrozby. Predstavuje tak kľúčový prvok aktívnej obrany a základ pre systémy SIEM.

Centrálne nástroje analýzy (SIEM)

Monitoring a logovanie generujú veľké množstvo dát z rôznych zdrojov. Aby malo ich vyhodnocovanie skutočný prínos, je nutné tieto informácie centralizovať a analyzovať v súvislostiach. K tomu slúžia nástroje označované ako SIEMSecurity Information and Event Management.

SIEM kombinuje funkcie log manažmentu a monitoringu do jedného systému. Zbiera logy zo serverov, sieťových prvkov, bezpečnostných zariadení aj aplikácií a umožňuje ich jednotnú analýzu. Vďaka tomu dokáže odhaliť vzorce správania, ktoré môžu znamenať hrozbu.

Ilustračný obrázok SIEM systémov - Kybernetická bezpečnosť - Kybernetická bezpečnosť

Predstavme si situáciu: o 10:00 prebehne niekoľko neúspešných prihlásení k firemnému e-mailu, o tri minúty neskôr z tej istej IP adresy prichádza požiadavka na prístup k databáze zákazníkov a krátko potom dôjde k zmene nastavenia firewallu. Každá udalosť samostatne nemusí pôsobiť nebezpečne, ale SIEM ich dokáže prepojiť do jedného scenára útoku a upozorniť bezpečnostný tím skôr, než dôjde k poškodeniu systému.

SIEM systémy poskytujú správcom prehľadné prostredie pre:

  • centrálny zber a ukladanie logov,
  • normalizáciu a filtrovanie dát,
  • vyhľadávanie a koreláciu udalostí,
  • vytváranie alertov a bezpečnostných pravidiel,
  • generovanie reportov pre vedenie alebo audity.
SIEM systémy navyše uchovávajú podrobné auditné logy, ktoré dokumentujú činnosť užívateľov aj zmeny v konfigurácii. Tieto záznamy sú kľúčové pre vyšetrovanie incidentov, bezpečnostné audity aj overovanie súladu s predpismi, ako sú ISO 27001 alebo NIS2.

Alerty a reakcie systému

Alerty informujú o udalostiach, ktoré systém vyhodnotí ako rizikové, napríklad opakované neúspešné prihlásenie, prístup z neznámej krajiny, pokus o inštaláciu nepovolenej aplikácie alebo prihlásenie mimo bežného pracovného času. V nástroji pre log management sú potom zobrazené identifikované hrozby a priradená závažnosť:

Detekcia útokov v nástroji pre log management - Kybernetická bezpečnosť - Kybernetická bezpečnosť

Keď SIEM alebo monitorovací nástroj rozpozná takúto udalosť, môže odoslať e-mailové upozornenie, zobraziť varovanie v administračnom paneli alebo rovno spustiť automatickú reakciu.

Nástroje pre monitoring a logy

Moderná infraštruktúra vytvára veľké množstvo logov, ktoré je nutné centrálne zhromažďovať a vyhodnocovať. K tomu slúžia rôzne nástroje pre monitoring a analýzu udalostí. Nižšie uvádzame prehľad najčastejšie používaných riešení.

ELK stack a Wazuh

ELK stack (Elasticsearch, Logstash, Kibana) je obľúbené open-source riešenie pre zber, ukladanie a vizualizáciu logov. Umožňuje vytvárať prehľadné dashboardy, vyhľadávať udalosti a analyzovať vývoj v čase.

Na tomto základe stavia Wazuh, rozšírenie, ktoré pridáva pokročilé bezpečnostné funkcie – detekciu hrozieb, monitoring integrity súborov a správu prístupových politík. Vďaka tomu sa z klasického log systému stáva komplexné bezpečnostné riešenie (SIEM).

Splunk

Splunk je komerčné riešenie určené pre rozsiahle infraštruktúry, ktoré vyžadujú okamžité spracovanie dát. Ponúka výkonné vyhľadávanie, analytické funkcie, prehľadné vizualizácie a možnosti automatickej reakcie na zistené udalosti. Vďaka škálovateľnosti sa často používa vo veľkých podnikoch a inštitúciách.

Graylog

Graylog predstavuje open-source alternatívu zameranú na jednoduché nasadenie a prehľadnosť. Poskytuje funkcie pre koreláciu udalostí, generovanie alertov a vizualizáciu dát. Vhodne kombinuje prehľadné rozhranie s dostatočnou flexibilitou pre menšie a stredne veľké organizácie.

Pri výbere nástroja je vhodné zohľadniť rozsah infraštruktúry, počet zdrojov logov aj požiadavky na hĺbku analýzy a automatizáciu.

Zásady efektívneho log manažmentu

Efektívny log management znamená pracovať s dátami cielene a systematicky. Cieľom nie je zhromažďovať čo najviac informácií, ale získať záznamy, ktoré majú skutočnú hodnotu pre správu a bezpečnosť systému. Nadbytočné logy vedú len k zahlteniu úložiska a sťažujú analýzu.

Logy je vhodné centralizovať – ukladať ich do jedného systému, ktorý dokáže dáta z rôznych zdrojov prehľadne spracovať. Tým sa zjednoduší správa aj vyhľadávanie a zaistí jednotný prístup k informáciám. Rovnako dôležité je logy pravidelne vyhodnocovať, nielen ich pasívne ukladať. Priebežná analýza pomáha odhaliť chyby, anomálie aj známky útoku skôr, ako ovplyvní prevádzku.

Ďalším kľúčovým princípom je ochrana logov. Útočníci sa často snažia záznamy mazať alebo meniť, aby skryli svoje stopy. Preto je nutné zaistiť ich neporušenosť – napríklad pomocou kontrolných súčtov alebo oddeleného úložiska.

Monitoring a logovanie fungujú ako bezpečnostný radar aj pamäť systému – nepretržite sledujú dianie v infraštruktúre, uchovávajú dôležité záznamy a poskytujú spoľahlivé podklady pre analýzu, audit aj strategické rozhodovanie.

V ďalšej lekcii, Európska regulácia kyberbezpečnosti NIS2 , si predstavíme európsku smernicu NIS2. Vysvetlíme si, prečo vznikla, koho sa bude týkať a akej oblasti bude pokrývať.


 

Predchádzajúci článok
Návrh a implementácia sieťovej segmentácie v praxi
Všetky články v sekcii
Kybernetická bezpečnosť
Preskočiť článok
(neodporúčame)
Európska regulácia kyberbezpečnosti NIS2
Článok pre vás napísal Max Snítil
Avatar
Užívateľské hodnotenie:
Ešte nikto nehodnotil, buď prvý!
.
Aktivity