Inleiding In de complexe wereld van IT-beveiliging is forensisch onderzoek een kritische discipline die helpt bij het ontrafelen van de mysteries achter cyberaanvallen en beveiligingsinbreuken. Een onderschatte held in dit scenario is ‘centrale logging’ – een goudmijn voor forensische data-analyse. Deze blog duikt in de essentie van centrale logging en [...]
Toegang tot de Centrale Logging Tool is een belangrijk onderwerp waar wij enorm veel aandacht voor hebben. Doordat logging ook gevoelige data bevat, wil je natuurlijk dat alleen geauthenticeerde en geautoriseerde personen er toegang tot hebben.
De toegangscontrole kunnen via OpenID Connect, SAML, en LDAP Authenticatie/Autorisatie worden ingesteld.
Verder kunnen we RBAC configureren zodat enkel en alleen de juiste personen de juiste logboeken kunnen bekijken. Uiteraard zijn alle logs waartoe persoon toegang hebben altijd read-only.
Ook kan er per rol dat een user krijgt binnen de Centrale Logging Tool ingesteld worden welke onderdelen van een log wel en niet mogen gezien. Als voorbeeld de audit logs, waarin persoonsgegevens kunnen zitten. De CISO mag bijvoorbeeld met de rol “CISO” de persoonsgegevens wel binnen de audit logs zien, maar een beheerder krijgt in plaats van de naam een unieke nummer te zien. Hiermee kan de beheerder wel events correleren, zonder dat de persoonsgegevens zichtbaar worden. De CISO zou dan de unieke nummers weer kunnen correleren aan de juiste persoon. Dit noemen we field-masking.
