Firewall-logning
Anbefaling: Organisationen bør logge datatrafikken alle steder, hvor der går datatrafik ind og ud af organisationen.
Anvisning
Organisationen skal logge:
- Tid UTC
- Afsender/modtager-IP-adresse, port og protokol
- Beslutning (f. eks. forbindelsen blev blokeret, godkendt, etc.)
- Datastørrelser - både sendt og modtaget
Formål – risici anbefalingen imødegår
Når man analyserer et cyberangreb er det interessant også at undersøge godkendt trafik for at få det fulde billede af organisationens trafik. Derfor er det vigtigt, at der i relation til organisationens firewall og andre steder,hvor der passerer trafik ud og ind af netværket, foretages logning af både godkendt og blokeret trafik.
Bemærkninger
Fra vejledningen: ”Logning - en del af et godt cyberforsvar”
| Sikkerhedskoncept | ||||
| Identify | Protect | Detect ✓ | Respond ✓ | Recover |
| Beskyttelsesformål | ||
| Fortrolighed ✓ | Integritet ✓ | Tilgængelighed ✓ |
| Organisatorisk niveau | ||
| Topledelse | Forretnings- og it-ledelse | Implementering og drift ✓ |
| Referencer: I overensstemmelse med | |
| ISO/IEC 27001:2013 | A.12.4 Logging and monitoring |
| ISO/IEC 27002:2021 DIS | 8.15 Logging |
| NIST | Cybersecurity Framework DE.AE-3 |
Nationale anbefalinger
Sidst opdateret 18. juni, 2021 - Kl. 08.50
Relateret