Lokitapahtumien tietoturvamerkityksen on oltava lokien seurannan tiedossaLokeissa ja monitoroinnissa saattaa olla tapahtumia, joilla on merkitystä tietoturvahavaintoina. Erillisen operationaalisen tietoturvaseurannan (SOC, Security Operations Centre) on kuitenkin lähes mahdotonta pystyä havaitsemaan esimerkiksi liiketoimintalogiikkakohtaisia tietoturvahavaintoja, ellei heille ole annettu näistä tietoa ja tulkintaohjetta etukäteen. Tietoturvan kannalta merkittävät sovelluskohtaiset loki- ja monitorointitapahtumat tulee tuoda SOCin tietoon, jotta niiden tapahtuminen voidaan havaita. Esimerkki: Tuotetiimi toteuttaa rajapinnan, johon pitäisi tulla vain hyvin muodostuneita kutsuja luotetusta toisesta järjestelmästä. Tiimi toteaa uhkamallinnuksessaan, että mahdollinen väärin muotoiltu kutsu on selvä merkki mahdollisesta tietoturvapoikkeamasta ja ne kirjataan sisältöineen lokiin. SOCille kerrotaan, että tällainen lokitapahtuma on todennäköisesti joko osoitus tietomurrosta (IoC, Indication of Compromise) tai ainakin vikaantuneesta palvelusta; kummassakin tapauksessa välitön hälytys on aiheellinen. SOC lisää tämän erityistapauksen seurantaan. |