信息安全手册之系统监视指南

admin 2022年4月25日02:31:21安全闲碎评论15 views1467字阅读4分53秒阅读模式

事件记录和审核

事件日志记录策略

通过制定事件日志记录策略,同时考虑到组织与其服务提供商之间的任何共同责任,组织可以提高检测系统和网络上恶意行为的机会。此类事件日志记录策略将涵盖 要记录的事件、要使用的日志记录工具、事件日志保留期以及如何保护事件日志。

开发并实现事件日志记录策略。

集中式测井设施

集中式日志记录工具可用于关联来自多个源的事件日志。此功能可能由安全信息和事件管理解决方案提供。

实施了集中式日志记录工具,并配置了系统,以便在每次事件发生后尽快将事件日志保存到集中式日志记录设施。

建立准确的时间源,并在系统和网络设备之间一致地使用,以帮助关联事件。

信息安全手册之系统监视指南

要记录的事件

以下事件列表有助于监视系统的安全状况,检测恶意行为,并有助于在网络安全事件后进行调查。

对于任何需要身份验证的系统,都会记录登录、失败登录和注销事件。

为操作系统记录以下事件:

1.访问重要数据和流程

2.应用程序崩溃和任何错误消息

3.尝试使用特殊权限

4.账户更改

5.安全策略的更改

6.更改系统配置

7.域名系统和超文本传输协议请求

8.尝试访问数据和系统资源失败

9.服务故障和重新启动

10.系统启动和关闭

11.与外部介质之间传输数据

12.用户或组管理

13.使用特权。

为Web应用程序记录以下事件:

1.尝试访问被拒绝

2.崩溃和任何错误消息

3.用户发起的搜索查询。

为数据库记录以下事件:

4.获取特别重要的 数据

5.添加新用户,尤其是特权用户

6.任何包含注释的查询

7.包含多个嵌入式查询的任何查询

8.任何查询或数据库警报或故障

9.尝试提升特权

10.尝试成功或不成功的访问

11.对数据库结构的更改

12.对用户角色或数据库权限的更改

13.数据库管理员操作

14.数据库登录和注销

15.修改数据

16.使用可执行命令。

事件日志详细信息

对于记录的每个事件,需要记录足够的详细信息才能使事件日志有用。

对于记录的每个事件,都会记录事件的日期和时间、相关用户或过程、事件描述以及所涉及的ICT设备。

事件日志保护

有效的事件日志保护和存储(从创建到销毁)可确保捕获的事件日志的完整性、可用性和不可否认性。

事件日志受到保护,防止未经授权的访问、修改和删除。


信息安全手册之系统监视指南

事件日志保留

由于事件日志可能有助于网络安全事件后的调查,因此理想情况下,它们应该在系统的生命周期内保留,并且可能更长。但是,根据澳大利亚国家档案馆(NAA)的行政职能处置局快速版本2出版物,这些记录的最低保留要求为七年。

事件日志根据NAA的行政职能处置机构快速版本2发布保留至少7年。

Domain名称系统和代理日志至少保留18个月。

事件日志审核过程

事件日志审核是维护系统安全状况不可或缺的一部分。此类活动可以帮助检测和归因任何违反安全策略的行为,包括网络安全事件。

开发和实施了Event日志审核过程和支持事件日志审核过程,涵盖审核的范围和计划、构成违反安全策略的内容以及检测到违规行为时要采取的操作,包括报告要求。

事件跨事件日志关联,以优先处理审核和重点调查。

注:本文档翻译参考来源为澳大利亚ACSC,部分内容在本文中做了技术性调整,具体实施请参考我国有关标准,本文仅为大家提供一个信息安全的思路拓展。


 

信息安全手册之系统监视指南

原文始发于微信公众号(祺印说信安):信息安全手册之系统监视指南

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月25日02:31:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  信息安全手册之系统监视指南 http://cn-sec.com/archives/937441.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: