Zorg dat elke applicatie en elk systeem voldoende loginformatie genereert

Logbestanden spelen een sleutelrol in het detecteren van cyberaanvallen en het afhandelen van incidenten. Je voorziet je organisatie van belangrijke informatie voor detectie door ervoor te zorgen dat applicaties en systemen voldoende loginformatie genereren.

Bepaal welke logbestanden nodig zijn. Denk hierbij aan systeemlogging, netwerklogging, applicatielogging en cloudlogging. Stel waar nodig alertering in. Denk bijvoorbeeld aan notificaties van verdachte inlogpogingen op basis van een analyse van logbestanden. Zorg dat je systemen logbestanden in een bruikbaar bestandsformaat opslaan, en dat de opgenomen tijdsinformatie nauwkeurig en in de juiste tijdzone gesteld is.

Maak een afweging over de bewaartermijn van logbestanden. Als je logbestanden lang bewaart, kun je ook veel later bij incidenten achterhalen wat er is gebeurd. Aan de andere kant bevatten logbestanden mogelijk privacygevoelige informatie en nemen ze opslagruimte in beslag.

Beperk de toegang tot logbestanden en sla deze op in een apart netwerksegment. Incidentenonderzoek is nauwelijks mogelijk als aanvallers de logbestanden hebben kunnen aanpassen of verwijderen.