Variabler av vikt för förmågan att analysera säkerhetsloggar
Publiceringsdatum: 2015-11-27
Rapportnummer: FOI-R--4126--SE
Sidor: 54
Skriven på: Engelska
Nyckelord:
- cybersäkerhet
- IT-säkerhet
- logganalys
- intrångsdetektion
- lägesbild
- litteraturöversikt
- mänskliga faktorer
Sammanfattning
Inom projektet Övning och experiment för operativ förmåga i cybermiljön kommer förmågan att analysera cybersäkerhetsloggar studeras. Denna rapport ger en allmän översikt över logganalys inom cybersäkerhet och identifierar variabler som förmodas ha stor betydelse för att göra detta framgångsrikt. På den översta nivån identifieras tre delar som är viktiga: insamling av information, automatisk analys och manuell analys. Variabler som bedöms som viktiga inom insamling av information är val och placering av sensorer, systemkartläggning och hotunderrättelser; inom automatisk analys bedöms de viktigaste variablerna vara analystypen, dess träffsäkerhet och dess prestanda (snabbhet); de mest betydelsefulla variablerna inom den manuella analysen bedöms vara arbetsplatsens utformning samt logganalytikerns kunskap, informationsresurser och behörigheter. Baserat på översikten identifieras ett antal forskningsfrågor som projektet kan försöka besvara.