Variabler av vikt för förmågan att analysera säkerhetsloggar

Författare:

  • Teodor Sommestad
  • Hannes Holm

Publiceringsdatum: 2015-11-27

Rapportnummer: FOI-R--4126--SE

Sidor: 54

Skriven på: Engelska

Nyckelord:

  • cybersäkerhet
  • IT-säkerhet
  • logganalys
  • intrångsdetektion
  • lägesbild
  • litteraturöversikt
  • mänskliga faktorer

Sammanfattning

Inom projektet Övning och experiment för operativ förmåga i cybermiljön kommer förmågan att analysera cybersäkerhetsloggar studeras. Denna rapport ger en allmän översikt över logganalys inom cybersäkerhet och identifierar variabler som förmodas ha stor betydelse för att göra detta framgångsrikt. På den översta nivån identifieras tre delar som är viktiga: insamling av information, automatisk analys och manuell analys. Variabler som bedöms som viktiga inom insamling av information är val och placering av sensorer, systemkartläggning och hotunderrättelser; inom automatisk analys bedöms de viktigaste variablerna vara analystypen, dess träffsäkerhet och dess prestanda (snabbhet); de mest betydelsefulla variablerna inom den manuella analysen bedöms vara arbetsplatsens utformning samt logganalytikerns kunskap, informationsresurser och behörigheter. Baserat på översikten identifieras ett antal forskningsfrågor som projektet kan försöka besvara.