Firewall-logning
Anbefaling: Organisationen bør logge datatrafikken alle steder, hvor der går datatrafik ind og ud af organisationen Det betyder at al trafiks der passere en firewall skal logges.
Anvisning
Organisationen skal som minimum logge:
- Tid UTC
- Afsender/modtager-IP-adresse og port
- Beslutning (eksempelvis forbindelsen blev blokeret, godkendt eller lukket)
- Datastørrelser på sessionens trafik (både sendt og modtaget).
Formål – risici anbefalingen imødegår
Når man analyserer et cyberangreb er det interessant også at undersøge godkendt trafik for at få det fulde billede af organisationens trafik. Derfor er det vigtigt, at der i relation til organisationens firewall og andre steder,hvor der passerer trafik ud og ind af netværket, foretages logning af både godkendt og blokeret trafik.
Bemærkninger
Fra vejledningen: ”Logning - en del af et godt cyberforsvar”
| Sikkerhedskoncept | ||||
| Identify | Protect | Detect ✓ | Respond ✓ | Recover |
| Beskyttelsesformål | ||
| Fortrolighed ✓ | Integritet ✓ | Tilgængelighed ✓ |
| Organisatorisk niveau | ||
| Topledelse | Forretnings- og it-ledelse | Implementering og drift ✓ |
| Referencer: I overensstemmelse med | |
| ISO/IEC 27001:2022 | Annex A 8.15 Logging |
| ISO/IEC 27002:2022 | 8.15 Logging |
| NIST | Cybersecurity Framework 1.1 DE.AE-3 |
Nationale anbefalinger
Sidst opdateret 24. november, 2023 - Kl. 13.06