Opdag Insider trusler med UEBA
18/11/2021
5 gode råd til
08/12/2021

Undgå at drukne i din egen datasø

Undgå at drukne i din egen datasø

Kolossale mængder af data kan hobe sig op. Så hvordan undgår du at drukne i din egen datasø?
Det er ikke gratis at indsamle og opbevare store datamængder, så brug dem korrekt og få den optimering af din forretning, der var årsagen til, at du valgte at overvåge.
artikelbillede opdag insider trusler med ueba

Læs også: Artikel af Karsten Højer

Opdag Insider trusler med UEBA

Alle vil gerne være dygtigere, hurtigere, mere effektive – ja kort sagt optimere deres forretning, og dataoptimering er vejen frem, hvis man som virksomhed ikke skal blive overhalet af konkurrenterne.

Systemer overvåges og data indsamles derfor i store mængder – ofte i så store mængder at man mister overblikket og slet ikke får brugt sine data til noget.

Det starter altid fornuftigt ud enten med overvågningsløsninger, som er dedikeret til et specielt produkt – eller deciderede overvågningsplatforme, som overvåger på tværs af andre platforme.

Men data er en sjov størrelse: Du gør dig ingen idé om, hvor hurtigt kolossale mængder af data kan hobe sig op.

Vi oplever gang på gang, at når virksomheder indsamler overvågningsdata, er der en tendens til at måle på alt, fordi man gerne vil vide alt.

Det går godt den første uge eller to, men så oplever man et informations-overload; man drukner simpelthen i de mange informationer og forskellige statusmeddelelser, og man mister overblikket.

Resultatet er, at man får for meget information – men for lidt viden. Og desuden bliver det langt dyrere end forventet.

Hvis du har valgt en as-a-Service-løsning, betaler du naturligvis kun for det, du bruger, men data-mængder har en tendens til at vokse hurtigt, især hvis man måler på alt, og så går det hen og bliver dyrt alligevel.

Strukturér overvågningen

Hvis man vil undgå at havne i en situation, hvor dataene hober sig op, og man ikke får udbytte af dem, fordi man har mistet overblikket, er det en god idé at strukturere sin overvågning. Det er faktisk lettere end det lyder. Begynd med at udarbejde en plan for hvilke 10 enheder eller services, I i første omgang gerne vil overvåge.

Opdel systemet i grupperinger, så det giver mening for rapporteringen, og få på den måde en fornemmelse af baseline for jeres infrastruktur. Det vil sige opbyg en viden om belastningen af infrastrukturen.
Når der så sker udsving i den ene eller den anden retning, vil I nemt kunne identificere årsagen og eliminere problemet.

Kend din baseline

Lad os tage jeres internetforbindelse som eksempel.

I sidste uge lå belastningen måske på 60 procent. Er det mon meget eller lidt?

Hvis belastningen for en uge normalt ligger på 30 procent, ja så er 60 procent meget.
Hvis normalbelastningen derimod er 80 procent, ja så er 60 procent jo ikke så meget.

Det virker som logik for burhøns, men det er faktisk altafgørende at kende sin baseline for at få det maksimale ud af sin overvågningsplatform.

Det kan så også spare dig for en masse statusmeddel-elser, hvis du for eksempel kun er interesseret i at vide, når belastninger nærmer sig 80 procent, ja så kan alle de andre meddelelser jo afmeldes, og billedet vil ikke blive mudret at for mange meddelelser.

Tilpas overvågningen til organisationen

Det er desuden vigtigt at måle oppetiden (SLA) for din infrastruktur. Her er det vigtigt at kigge på, om der er særlige hensyn, der gør sig gældende for netop din organisation.

Har din virksomhed for eksempel en natte- eller vagt-ordning, så skal SLA naturligvis måles for hele døgnet og ikke kun i dagtimerne.

Vær proaktiv i din overvågning

Mange virksomheder overvåger deres infrastruktur reaktivt – altså på bagkant når hændelsen er sket. Det betyder, at hvis en enhed går ned, så vil overvågningen fange det, og du vil kunne konstatere, at: ”Ja, det er korrekt”.

Men du kan faktisk ikke bruge informationen til ret meget.

Naturligvis er det rart at vide, hvor i systemet enheden er gået ned, så den kan genstartes eller udskiftes.

Men det ville da være smartere, hvis du på forhånd fik en advarsel og dermed kunne nå at reagere, inden problemet opstod?

Når nu du alligevel har indsamlet alle disse data, så brug dem proaktivt og opsæt din overvågning, så du kan:

  • Holde øje med om dele af dit udstyr mangler service, eller der er certifikater, som er ved at udløbe. Begge dele kan nemlig forårsage fatale fejl i din infrastruktur.
  • Få en advarsel når enheder har været udsat for en større opgradering. På den måde kan du holde øje med om baseline har ændret sig, og om det måske betyder ændringer i performance for din infrastruktur.
  • Være proaktiv og måle på performance på server, CPU, RAM, på disk-forbrug samt på netværksudstyr. På den måde har du hele tiden mulighed for at vurdere, hvor meget din platform er belastet, og så kan du – behøver jeg overhovedet at sige det – reagere hurtigere.

Det hele handler om struktur og opsætning, og du har jo allerede de nødvendige data – og måske endda flere til.

Det er jo ikke gratis at indsamle og opbevare disse store datamængder, så brug dem dog og få den optimering af din forretning, der oprindelig var årsag til, at du valgte at overvåge.

“Det virker som logik for burhøns, men det er faktisk altafgørende at kende sin baseline for at få det maksimale ud af sin overvågningsplatform”.

Relaterede nyheder

08/12/2021

5 gode råd til

Læs mere
18/11/2021

Opdag Insider trusler med UEBA

Læs mere
31/05/2021

Dimensionér din SIEM

Læs mere