SecureFirst — STAY AHEAD, STAY SECURE
SecureFirst — STAY AHEAD, STAY SECURE

CIS Control 8 - Audit Log Management

CIS Controls — 18. marts 2026

Indledning

I dette afsnit gennemgår vi CIS Control 8: Audit Log Management.

Formålet med denne kontrol er at indsamle, alarmerere, gennemgå og opbevare audit logs over hændelser, som kan hjælpe med at opdage, forstå eller genskabe et angreb.

Audit logs kan i mange tilfælde være den eneste dokumentation for, at et angreb har fundet sted. Derfor kræver denne kontrol en dokumenteret og struktureret log management proces.

Hvad omfatter Audit Log Management?

Audit log management omfatter generering, transmission, lagring, analyse, arkivering og eventuel bortskaffelse af logs.

Eksempler på audit logs er

• Operativsystem logs • Antivirus og antimalware logs • Application logs • Firewall logs • Webserver logs • Fysisk adgangskontrol logs • Adgangskontrol logs for sensitive data

Alle enterprise assets skal som udgangspunkt indgå i log management processen.

Log Management Lifecycle

Log management følger en livscyklus

• Generation • Transmission • Storage • Analysis • Disposal • Alert

Generation – Aktivering af logs

Der skal udvikles en enterprise-wide strategi for audit log management.

Strategien skal dokumenteres og opdateres mindst årligt eller ved væsentlige ændringer.

Audit logging skal være aktiveret på alle enterprise assets, hvor det er praktisk muligt.

Audit logs må ikke deaktiveres.

Indholdet af logs skal være specificeret i virksomhedens Secure Configuration Policy.

Det skal løbende kontrolleres, at de korrekte log settings fortsat er aktiveret, og at konfigurationsændringer ikke har deaktiveret eller ændret logningen.

Der skal sikres tilstrækkelig lokal lagerplads på enheder, så logs kan genereres og gemmes, indtil de overføres til central lagring.

Transmission – Sikker overførsel af logs

Der skal etableres procedurer for at flytte logs fra enterprise assets til et centralt log datastore.

Overførslen kan ske manuelt eller elektronisk.

Overførslen skal ske på en sikker måde med passende sikkerhedsforanstaltninger og adgangskontrol for at forhindre uautoriseret ændring eller adgang.

Storage – Opbevaring og retention

Der skal etableres procedurer for at indsamle og opbevare audit logs.

Der skal afsættes tilstrækkelig lagerplads

• På enterprise assets • På eventuelle centrale log storage systemer

Retention tidsrammer skal være i overensstemmelse med virksomhedens data management proces.

CIS anbefaler, at audit logs opbevares i minimum 90 dage før bortskaffelse.

Logs skal beskyttes under lagring, herunder ved brug af kryptering og integritetsbeskyttelse såsom kryptografiske hashes.

Review og Analysis

Alle high severity events skal håndteres i overensstemmelse med audit log management processen.

Automatiseret log analyse kan anvendes, eksempelvis via SIEM systemer, til at

• Korrelerer hændelser • Identificere brud • Identificere fejl og problemer • Rapportere anomalier

Manual analyse kan supplere den automatiserede proces.

Alert

Der skal være en proces for, hvem der alarmeres ved specifikke hændelser.

En kvalificeret person skal gennemgå alerts for at vurdere, om incident response processen skal aktiveres.

Disposal

Audit logs skal opbevares i den periode, der er defineret i audit log management processen.

Arkiverede logs skal være tilgængelige for analyse.

Bortskaffelse af logs skal ske i overensstemmelse med virksomhedens data management proces.

Afslutning

CIS Control 8 kræver en dokumenteret og vedligeholdt proces for generering, indsamling, sikring, analyse og opbevaring af audit logs på alle relevante enterprise assets.

Log management er afgørende for at kunne opdage og reagere på sikkerhedshændelser samt bevare dokumentation for hændelser i virksomhedens miljø.

Tak fordi du lyttede med.