// KIBERBIZTONSÁGI KISOKOS · 08. MODUL

Detektálás — naplózás és SIEM

Q: Kell egy kis cégnek drága SIEM-rendszer?

Nem feltétlenül. A SIEM (Security Information and Event Management) egy olyan rendszer, amely egy helyre gyűjti és összefüggésbe hozza a naplókat, majd riaszt a gyanús mintákra. Ez nagyobb szervezeteknél hasznos, de egy kis cégnél a lényeg először a fegyelmezett alap: legyenek egyáltalán naplók a fontos rendszerekről, egy helyen, pontos időbélyeggel, és pár értelmes riasztás. A drága eszköz a növekedéssel jön; nélküle a SIEM csak zajt termel.

Q: Mit naplózzak, ha eddig semmit sem naplóztam?

Kezdd a legfontosabbal: ki és mikor lépett be (és mikor próbált sikertelenül), milyen jogosultság-változások történtek (új admin, jelszó-reset, jogosultság-emelés), és a kritikus rendszerek (e-mail, könyvelő, webshop) hibái, leállásai. Ezek a leghasznosabbak egy vizsgálatnál, és pont ezekre lesz szükség, ha be kell jelentened egy incidenst. A minden apróságot naplózni akarás inkább elnyom, mint segít.

Q: Miért épül a NIS2-bejelentés a naplókra?

Mert egy incidens bejelentésekor idővonalat és tényeket kell tudnod adni: mikor kezdődött, mit érintett, hogyan terjedt. Ezt csak a naplókból tudod rekonstruálni. A detektálás a híd a megelőzés és a reagálás (incidenskezelés) között: ha nincs napló, nemcsak későn veszed észre a bajt, de bizonyítani sem tudod, mi történt — pedig a bejelentés épp ezen áll vagy bukik.

I · A kb. 7 perc olvasás

A detektálás a híd a megelőzés és a reagálás között. Ha nincs napló, vakon repülsz: későn veszed észre a bajt, és bizonyítani sem tudod, mi történt. Ez a modul megmutatja, mit érdemes naplózni, meddig tárold, mit jelent a központosított log-gyűjtés és a SIEM — érthetően, drága eszközök nélkül. És hogy miért épül a NIS2-bejelentés is a naplókra.

Hogyan naplózz? → Gyors önellenőrzés Vissza a Kisokoshoz

1 · Laikusan

Mi a detektálás?

A detektálás azt jelenti, hogy észreveszed, ha baj van — minél hamarabb. Ehhez naplókra van szükség: a rendszereid „feljegyzéseire" arról, ki mit csinált, mikor és sikerült-e. Ha nincs napló, akkor a betörést sokszor csak akkor látod meg, amikor már késő — vagy soha. A naplózás a kamera és a riasztó a digitális világban: nem akadályozza meg a betörést, de látod, ha történik, és utólag is vissza tudod nézni, mi és hogyan zajlott.

Képzeld el a bolt kameráival és riasztójával Egy üzletben a kamera nem állítja meg a tolvajt — de rögzíti, mikor és hogyan jött be, mit vitt el, merre ment. Ha valami eltűnik, visszanézed a felvételt, és pontosan tudod, mi történt. A riasztó ezen felül azonnal szól, ha valaki éjjel benyit. A naplózás ugyanez digitálisan: minden fontos esemény (belépés, fájlmozgás, beállítás-változás) rögzül egy „felvételre". A monitoring/riasztás pedig az, ami szól, ha valami gyanúsat lát — mondjuk valaki hajnali háromkor ötvenszer próbál belépni. Kamera és riasztó nélkül a boltot kifoszthatják, és te csak másnap reggel jössz rá — ha egyáltalán. Napló nélkül vakon repülsz.

A digitális világban a „kamerafelvétel" a napló (angolul log): időbélyeggel ellátott bejegyzések arról, mi történt a rendszerben. A „riasztó" a monitoring és a riasztások: szabályok, amelyek figyelik a naplókat, és jeleznek, ha valami nem stimmel. A buktató kettős: vannak, akiknél egyáltalán nincs napló (semmit nem látnak), és vannak, akik mindent naplóznak, de soha nem nézik meg — ott a fontos jel elvész a zajban. A jó detektálás a kettő közt van: a fontosat rögzíted, egy helyre gyűjtöd, és pár értelmes riasztással őrződ.

2 · A gyakorlatban

Miért NIS2-szempont?

A detektálás a híd a megelőzés és a reagálás között. A megelőzés (hozzáférés-kezelés, mentés, patch) csökkenti a baj esélyét, de nem nullázza — előbb-utóbb történik valami. A reagálás (incidenskezelés) pedig csak akkor tud elindulni, ha észreveszed a bajt. A naplók nélkül a NIS2 szerinti kötelező bejelentést sem tudod megtenni érdemben: a hatóság idővonalat és tényeket vár, azok pedig a naplókban vannak.

Mit naplózz?

A fontossal kezdd: belépések és sikertelen belépések, jogosultság-változások (új admin, jelszó-reset, jogosultság-emelés), rendszerhibák és leállások, valamint a kritikus rendszerek (e-mail, könyvelő, webshop) eseményei. Az időbélyegek legyenek pontosak és egységesek — enélkül nem lehet idővonalat építeni.

Tárolás és központosítás

Döntsd el, meddig őrződ a naplókat (gyakorlatban legalább néhány hónap, mert a támadások sokszor később derülnek ki), és gyűjtsd a fontosakat egy helyre (log-gyűjtés). Így kereshetők egyben, és nem lehet őket rendszerenként, csendben eltüntetni. Védd őket az utólagos módosítástól.

Hogyan segít NIS2-szinten?

A NIS2-t átültető szabályozás elvárja az incidensek észlelését és a kötelező bejelentést. Ezekhez napló kell: csak abból derül ki, mikor kezdődött a baj, mit érintett és hogyan terjedt. A jó naplózás egyszerre korai riasztás és a bejelentés bizonyítéka — itt szándékosan nem idézünk konkrét paragrafust, az értelmezés mindig egyedi.

Mi felkészítünk, nem mi auditálunk. Ez az oldal általános tájékoztatás, nem jogi tanácsadás és nem hatósági állásfoglalás. A kötelező, független megfelelőségi auditot a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) által nyilvántartásba vett auditor végzi, külön díjért — ezt nem helyettesítjük. A jogszabályi adatok a tájékoztatás időpontjában (2026. június) hatályos állapotot tükrözik.

2 · A gyakorlatban

Hogyan állíts be értelmes naplózást? — öt lépés

Nem kell hozzá drága rendszer; a legtöbb operációs rendszer, e-mail-szolgáltatás és webshop-motor tud naplózni, csak be kell kapcsolni és összeszedni. A lényeg, hogy a fontosat rögzítsd, egy helyen tartsd, és néha tényleg ránézz.

Döntsd el, mit naplózz

Kezdd a fontossal: belépések és sikertelen belépések, jogosultság-változások (új admin, jelszó-reset), rendszerhibák és a kritikus rendszerek (e-mail, könyvelő, webshop) eseményei. Ez közvetlenül kapcsolódik a hozzáférés-kezeléshez: a ki-mikor-mit naplója adja meg, hogy egy fiókkal mi történt.

Állíts be megőrzési időt és pontos időt

Döntsd el, meddig tárolod a naplókat — gyakorlatban legalább néhány hónapig, mert a támadások sokszor csak hetekkel később derülnek ki. Ügyelj rá, hogy az időbélyegek pontosak és egységesek legyenek minden rendszeren; e nélkül nem lehet összefűzni az események idővonalát.

Központosítsd a naplókat

Gyűjtsd a fontos rendszerek naplóit egy helyre — ez a log-gyűjtésLog-gyűjtés (központosított naplózás): a különböző rendszerek naplóit egy közös, védett tárba továbbítod. Így egyben kereshetők, és egy támadó nem tudja gépenként, csendben törölni a nyomokat.. Egyben kereshetők lesznek, és nem lehet őket rendszerenként eltüntetni. A naplótárat védd az utólagos módosítástól, korlátozott hozzáféréssel.

Állíts be néhány riasztást

Ne mindenre riassz — az csak zajt szül. Válassz ki pár fontos jelet: sok sikertelen belépés, új admin-fiók, kikapcsolt védelem, szokatlan idejű hozzáférés. Ezekre kérj értesítést. Ez a monitoring, és nagyobb méretben ebből lesz a SIEMSIEM (Security Information and Event Management): rendszer, amely egy helyre gyűjti a naplókat, összefüggésbe hozza őket, és riaszt a gyanús mintákra. Kis cégnél túlzás lehet; a fegyelmezett alap (napló + pár riasztás) fontosabb..

Nézd át rendszeresen és tesztelj

Hetente-havonta nézz rá a riasztásokra, és időnként tedd fel a próbakérdést: ha most történne incidens, vissza tudnád-e követni az idővonalat? Pontosan ez kell majd a bejelentéshez is. Ha nem megy, ott a következő lépésed.

3 · Technikai mélység

Ha mélyebbre ásnál

Az alábbiak a naplózásért felelős kollégának vagy a rendszergazdának szólnak — a laikus olvasó nyugodtan átugorhatja, az elv megértéséhez nem szükséges.

Naplózás, monitoring, SIEM — mi a különbség?

A naplózás maga a rögzítés: a rendszerek eseményeket írnak ki (ki lépett be, mi hibázott, mit állítottak át). A monitoring ezeket figyeli és riaszt — lehet egyszerű szabály is (pl. „X sikertelen belépés Y perc alatt"). A SIEM (Security Information and Event Management) ennek kiterjesztett változata: sok forrásból egy helyre gyűjti és korrelálja a naplókat, mintázatokat keres és riaszt. Egy KKV-nál a SIEM gyakran túlzás vagy drága — ott a fegyelmezett alap a fontos: legyen egyáltalán napló, egy helyen, pontos időbélyeggel, és pár jól megválasztott riasztás. SIEM nélkül is lehet jó a detektálás; rossz alapokon a SIEM is csak drága zajforrás.

Naplóintegritás — hogy ne lehessen letörölni a nyomot

Egy ügyes támadó első dolga elrejteni a nyomait: törli vagy átírja a naplókat. Ezért fontos a naplóintegritás. Gyakorlati eszközök: a naplók központosított, csak hozzáfűzhető (append-only) tárba küldése, ahonnan a felhasználói/admin fiók nem tudja visszamenőleg törölni; szigorúan korlátozott hozzáférés a naplótárhoz; és — nagyobb környezetben — kriptográfiai integritás-ellenőrzés. Ez összeér a rendszervédelemmel: a napló csak akkor ér valamit, ha bízhatsz benne, hogy nem hamisították meg.

Időszinkron és idővonal — miért kritikus a pontos óra

Egy incidens kibogozása lényegében idővonal-építés: össze kell fűzni, mi mikor történt a különböző rendszereken. Ha a gépek órája szétcsúszik, az események sorrendje összekeveredik, és nem lehet rekonstruálni az okozati láncot. Ezért alap a központi időszinkron (NTP) és az egységes időzóna/időbélyeg-formátum minden naplóforráson. A pontos időbélyeg nem technikai sallang: a NIS2-bejelentésnél épp az időadatok (mikor kezdődött, mikor észlelték, meddig tartott) a kulcsfontosságúak, és ezek a naplók időbélyegeiből jönnek.

Hol köszön vissza a NIS2-ben?

Az uniós NIS2-irányelv a kockázatkezelési intézkedések között nevesíti az incidens-detektálást és -kezelést (NIS2 21. cikk (2) bekezdés). A gyakorlatban ez azt jelenti, hogy az érintett szervezetnek képesnek kell lennie az események észlelésére, és a jelentős incidenseket be is kell jelentenie — a bejelentés bizonyítéka pedig maga a napló (idővonal, érintett rendszerek, terjedés). Magyarországon a NIS2-t a 2024. évi LXIX. törvény ülteti át; a naplózásra és incidens-bejelentésre vonatkozó konkrét részletszabályokat a törvény és a végrehajtási rendeletek tartalmazzák. A pontos szakaszhivatkozást itt szándékosan nem idézzük — nem idézünk fejből paragrafust, mert az értelmezés mindig egyedi, és a hivatkozást a hatályos szöveghez kell igazítani. Az időszerű jogi helyzetet a felkészülés során, forrásból ellenőrizzük.

2 · A gyakorlatban

Gyors önellenőrzés

Három kérdés, amit ma fel tudsz tenni magadnak — nincs eszköz, nincs regisztráció. Ha bármelyikre „nem" vagy „nem tudom" a válasz, ott van a következő lépésed.

1 · Van-e napló?

Ha most valaki kétszáz alkalommal próbálna belépni egy fiókotokba, megmaradna-e a nyoma? Tudnátok-e utólag megnézni, ki, mikor és honnan lépett be a fontos rendszerekbe? Ha nem, akkor még nincs detektálás — csak remény.

2 · Egy helyen vannak?

A naplók szét vannak szórva minden gépen és szolgáltatáson külön, vagy egy helyre gyűjtitek őket? Szétszórva egy támadó egyenként eltüntetheti, és nektek is órákba telik összerakni — épp amikor számít az idő.

3 · Szól-e bárki?

Van-e akár egyetlen riasztás fontos eseményre (új admin, sok sikertelen belépés, kikapcsolt védelem)? Ha senki és semmi nem szól, akkor az incidenst jó eséllyel egy ügyfél vagy a zsarolólevél fogja jelezni — túl későn.

1 · Laikusan

Gyakori tévhit

Tévhit

„Naplózni? Az nálunk nem történhet meg, és úgyis észrevennénk, ha baj van."

A valóság fordított: a támadások többségét nem veszik észre azonnal — hetekig, hónapokig is elhúzódhat, mire kiderül, sokszor csak akkor, amikor már titkosítva vannak az adatok vagy kiszivárogtak. Napló nélkül nincs mit visszanézni: nem tudod, mikor kezdődött, mit érintett, hogyan terjedt — és ugyanezt a NIS2-bejelentésnél is meg kéne mondanod. A naplózás nem bürokrácia: ez a kamera és a riasztó, amitől egyáltalán látsz. Nélküle vakon repülsz, és csak az ütközéskor veszed észre a falat.

Gyakori kérdések

GYIK a naplózásról és detektálásról

Kell egy kis cégnek drága SIEM-rendszer?

Nem feltétlenül. A SIEM egy helyre gyűjti és összefüggésbe hozza a naplókat, majd riaszt a gyanús mintákra — nagyobb szervezeteknél hasznos. Egy kis cégnél a lényeg először a fegyelmezett alap: legyenek egyáltalán naplók a fontos rendszerekről, egy helyen, pontos időbélyeggel, és pár értelmes riasztás. A drága eszköz a növekedéssel jön; rossz alapokon a SIEM is csak zajt termel.

Mit naplózzak, ha eddig semmit sem naplóztam?

Kezdd a legfontosabbal: ki és mikor lépett be (és mikor próbált sikertelenül), milyen jogosultság-változások történtek (új admin, jelszó-reset, jogosultság-emelés), és a kritikus rendszerek (e-mail, könyvelő, webshop) hibái, leállásai. Ezek a leghasznosabbak egy vizsgálatnál, és pont ezekre lesz szükség, ha be kell jelentened egy incidenst. Minden apróságot naplózni inkább elnyom, mint segít.

Meddig kell megőrizni a naplókat?

Erre nincs egyetlen, mindenkire kötelező szám — a konkrét megőrzési időt a kockázataid és a rendszereid határozzák meg, és ahol jogszabály vagy szerződés előírja, ott azt kell követni. Gyakorlati irányként a fontos biztonsági naplókat érdemes legalább néhány hónapig megőrizni, mert a támadások sokszor csak jóval később derülnek ki — ha addigra törlődtek a naplók, vakon maradsz a vizsgálatnál és a bejelentésnél.

Miért épül a NIS2-bejelentés a naplókra?

Mert egy incidens bejelentésekor idővonalat és tényeket kell tudnod adni: mikor kezdődött, mit érintett, hogyan terjedt. Ezt csak a naplókból tudod rekonstruálni. A detektálás a híd a megelőzés és a reagálás (incidenskezelés) között: ha nincs napló, nemcsak későn veszed észre a bajt, de bizonyítani sem tudod, mi történt — pedig a bejelentés épp ezen áll vagy bukik.

TOVÁBB

Folytasd a felkészülést

Következő és kapcsolódó témák

← Előző modul Rendszer- és adatvédelem Következő modul → Incidenskezelés és bejelentés

Következő lépés

Megvan az elv - de látnátok-e most egy támadást?

A naplózás és a riasztások beállítása belső munka, amit a saját rendszereiteken kell elvégezni — de azt, hogy kívülről mi látszik belőletek (kitett bejelentkező felületek, hiányzó biztonsági fejlécek, gyenge konfiguráció), egy ingyenes szivárgás-audit pár perc alatt megmutatja, konkrétan a saját domained alapján. Jó kiindulópont annak felméréséhez, hol érdemes előbb látnod.

Indíts ingyenes auditot → NIS2 felkészülés-csomagok Vissza a Kisokoshoz