NIST特别出版物                  NIST SP 800-92r1 ipd

网络安全日志管理规划指南

初步公开草案

Karen Scarfone

Scarfone网络安全

Murugiah Souppaya

信息技术实验室计算机安全处

本出版物可从以下网站免费获取：https://doi.org/10.6028/NIST.SP.800-92r1.ipd

2023年10月

编译 鹰眼翻译社区 樊山

发布 老烦的草根安全观

目录

执行摘要... 3

1 介绍... 3

1.1 目的和范围... 4

1.2 对联邦机构的要求... 4

1.3 出版物结构... 5

2 如何使用本出版物... 6

3 INV，更新日志记录相关库存... 7

3.1 INV-1，更新日志源类型清单... 8

3.2 INV-2，更新日志基础设施清单... 9

3.3 INV-3，更新日志记录用例清单... 10

3.4 INV-4，更新需求清单... 11

3.5 INV-5，更新工作角色清单... 11

4 TS，定义目标状态... 14

4.1 TS-1，预测日志清单的未来变化... 14

4.2 TS-2，定义日志生成的目标状态... 15

4.3 TS-3，定义日志存储和传输的目标状态... 17

4.4 TS-4，定义日志访问的目标状态... 19

4.5 TS-5，定义日志处理的目标状态... 19

5 GRC、记录差距及其根本原因... 20

5.1 GRC-1，评估范围和计划... 21

5.2 GRC-2，进行评估并记录调查结果... 21

6 PMG，制定缓解差距的计划... 21

6.1 PMG-1，起草计划... 22

6.2 PMG-2，修订受影响的政策... 23

6.3 PMG-3，处理对计划草案和政策的反馈... 23

参考文献... 25

附录A.术语表... 26

附录B.NIST指南和框架的交叉... 28

附录C.变更日志... 29

执行摘要

日志是组织计算机资产中发生的事件的记录，包括物理和虚拟平台、网络、服务和云环境。日志管理是生成、传输、存储、访问和处理日志数据的过程。它方便了日志的使用和分析，用于包括识别和调查网络安全事件、发现操作问题以及确保记录在规定的时间内存储等多种目的。日志记录和日志管理实践是许多网络安全和隐私相关法律法规的一部分。它们也是每个部门的众多标准、指南和其他建议的重要组成部分。

本文档的目的是帮助所有组织改进日志管理，以便获得所需的日志数据。本文件的范围是组织范围内的网络安全日志管理规划；日志记录和日志管理的所有其他方面都超出了范围。该文件定义了网络安全日志管理规划的行动手册，其中包括组织可以采取的可操作步骤，以规划其日志管理实践的改进。虽然剧本中的剧本并不全面，但它们值得注意，通常对组织有益。这些剧本有意回避任何关于日志管理细节的建议。日志管理需求因组织而异，而且经常发生变化。

该行动手册可以帮助组织识别和确定其需求的优先级，并确定如何最好地满足这些需求。对于一个组织来说，没有“正确”的方式来使用剧本。组织可以选择将其作为日志管理规划的新行动手册的起点，将其与现有日志管理行动手册集成，或者在考虑其计划、政策和流程时将其信息用作参考材料。

1 介绍

日志是组织计算机资产中发生的事件的记录，包括物理和虚拟平台、网络、服务和云环境。日志由日志条目组成，每个条目都包含与特定事件相关的信息，该事件是计算机资产中可观察到的事件。日志在大多数组织中具有许多功能，例如优化系统和网络性能，记录用户的操作，以及为调查恶意活动提供有用的数据。许多日志包含与网络安全相关的记录，例如捕获系统事件和审计记录的操作系统日志、捕获应用程序操作和安全事件的应用程序日志，以及记录常规事件、不良事件和可能的恶意活动的网络安全软件日志。

日志管理是生成、传输、存储、访问和处理日志数据的过程。它便于组织的日志使用和分析。日志管理可以在许多方面为组织带来好处。例如，它有助于确保在适当的时间段内以足够的详细信息存储记录。日志的持续监控和分析有利于在安全事件、违反政策、欺诈活动和运营问题发生后不久发现这些问题，并为解决这些问题提供有用的信息。日志还可用于执行审计和取证分析，支持组织的内部调查，建立基线，验证资产是否按预期运行，以及确定运营趋势和长期问题。

日志记录和日志管理实践是许多网络安全和隐私相关法律、法规、标准、指南和针对每个部门的建议的一部分。

1.1 目的和范围

本文档的目的是帮助所有组织改进日志管理，以便获得所需的日志数据。该文件的范围是网络安全日志管理规划。日志记录和日志管理的所有其他方面，包括实施日志管理技术和利用日志数据，都超出了范围。日志计划由将利用日志为安全和操作决策提供信息的活动提供信息。本文件取代了2006年发布的原始NIST特别出版物（SP）800-92[SP800-92]。该材料是在许多组织刚刚开始考虑日志管理的时候编写的。随着日志管理方面的丰富信息，NIST SP 800-92的此次修订侧重于组织范围内改进的高级指导，而不是实施细节或特定技术的能力。

本出版物的主要内容是网络安全日志管理规划的脚本。该行动手册提供了可操作的步骤，组织可以采取这些步骤来计划改进其日志管理实践，以支持推荐的实践和法规要求。脚本包含四个高级脚本，每个脚本都是涉及两个或多个任务（或其他较低级别脚本）的练习。脚本和脚本集并不全面，但列出的脚本值得注意，通常对组织有益。第2节提供了关于如何使用脚本和脚本集的更多信息。

1.2 对联邦机构的要求

本文件未对联邦机构提出任何新要求。寻求最新要求的联邦机构应咨询管理和预算办公室（OMB）备忘录，包括M-21-31《改善联邦政府与网络安全事件相关的调查和补救能力》[OMB21-31]和M-22-09《推动美国政府走向零信任网络安全原则》[OMB22-09]。

本文件中的指南有助于为NIST的其他出版物和项目提供信息，包括：

• NIST SP 800-53，第5版，信息系统和组织的安全和隐私控制[SP800-53r5]，特别是安全控制的审计和责任（AU）族

• NIST SP 800-61，第2版，《计算机安全事件处理指南》[SP800-61r2]，在生成日志方面，随后用于查找和调查网络安全事件

• NIST SP 800-207、零信任架构[SP800-207]和NCCoE的零信任架构项目，从支持零信任目的的数据分析的角度来看

• NIST SP 800-218，安全软件开发框架（SSDF）1.1版：减轻软件漏洞风险的建议[SP800-218]和NCCoE的软件供应链和DevOps安全实践项目，特别是在从安全软件开发实践中生成和存储工件方面

• 网络安全框架，特别是在保护和检测功能范围内

• 出版物结构

本文件的其余部分分为以下章节和附录：

• 第2节讨论了如何使用本出版物。

• 第3节规定了通过更新几个与日志记录相关的清单来描述网络安全日志记录当前状态的方法。

• 第4节包含定义组织网络安全日志记录目标状态的脚本。

• 第5节定义了评估和记录当前状态和目标状态之间差距的方法，以及这些差距的根本原因。

• 第6节提供了制定填补空白计划的方法。

• 参考资料部分列出了整个文件中使用的所有参考资料。

• 附录A包含关键术语的词汇表。

• 附录B提供了日志管理规划和选定的NIST指导文件和框架之间的映射。

• 附录C提供了本文件的变更日志。

2 如何使用本出版物

本出版物的第3节至第6节定义了以下高级脚本，以及它们的组成任务和脚本集：

• INV，更新日志相关清单（第3节）：描述组织网络安全日志的当前状态。

• TS，定义目标状态（第4节）：定义组织网络安全日志的目标状态。

• GRC，记录差距及其根本原因（第5节）：记录当前网络安全日志状态和目标状态之间的差距，并确定每个差距的根本原因。

• PMG，制定缓解差距的计划（第6节）：制定解决已确定差距的根本原因的计划，以达到目标状态。

没有“正确”的方式来使用脚本。组织可以选择将其作为日志管理规划的新行动手册的起点，将其与现有日志管理行动手册集成，或者在考虑自己的计划、政策和流程时将其信息用作参考材料。

每个脚本都包括以下组成部分：

• 唯一ID号（例如INV-5）

• 标题（例如，更新工作角色清单）

• 总结，包括脚本的预期结果

• 要执行的任务。每个任务都有简短的说明，并根据其脚本ID有一个唯一的标识符。需要更详细解释的任务要么被定义为单独的脚本，要么在支持任务信息的标签下有额外的解释文本。假设每个任务列表通常按顺序执行，除非短语“不一定按顺序”另有说明

一些脚本集还包括与脚本相关的例子，例如可能的角色和责任、用例或需求来源。

除了脚本集本身，附录B还包含映射，说明如何执行每一个脚本及其任务可以最显著地帮助组织从各种NIST资源中实现推荐的结果、控制和其他概念。

脚本集和任务有意将重点放在要执行的重要行动上，以便进行规划，从而避免对日志管理的细节提出任何建议。日志管理需求从一个组织到另一个组织变化很大，而且经常发生变化，因此本手册避免指定谁负责规划或执行任何脚本集或任务。相反，本手册有助于组织识别和确定其需求的优先级，并确定如何最好地满足这些需求。

因众所周知原因，本文全文下载已发布于知识星球：老烦的草根安全观

原文始发于微信公众号（老烦的草根安全观）：网络安全日志管理规划指南