事件记录和审核
事件日志记录策略
通过制定事件日志记录策略,同时考虑到组织与其服务提供商之间的任何共同责任,组织可以提高检测系统和网络上恶意行为的机会。此类事件日志记录策略将涵盖 要记录的事件、要使用的日志记录工具、事件日志保留期以及如何保护事件日志。
集中式测井设施
集中式日志记录工具可用于关联来自多个源的事件日志。此功能可能由安全信息和事件管理解决方案提供。
实施了集中式日志记录工具,并配置了系统,以便在每次事件发生后尽快将事件日志保存到集中式日志记录设施。
建立准确的时间源,并在系统和网络设备之间一致地使用,以帮助关联事件。
要记录的事件
以下事件列表有助于监视系统的安全状况,检测恶意行为,并有助于在网络安全事件后进行调查。
对于任何需要身份验证的系统,都会记录登录、失败登录和注销事件。
为操作系统记录以下事件:
1.访问重要数据和流程
2.应用程序崩溃和任何错误消息
3.尝试使用特殊权限
4.账户更改
5.安全策略的更改
6.更改系统配置
7.域名系统和超文本传输协议请求
8.尝试访问数据和系统资源失败
9.服务故障和重新启动
10.系统启动和关闭
11.与外部介质之间传输数据
12.用户或组管理
13.使用特权。
为Web应用程序记录以下事件:
1.尝试访问被拒绝
2.崩溃和任何错误消息
3.用户发起的搜索查询。
为数据库记录以下事件:
4.获取特别重要的 数据
5.添加新用户,尤其是特权用户
6.任何包含注释的查询
7.包含多个嵌入式查询的任何查询
8.任何查询或数据库警报或故障
9.尝试提升特权
10.尝试成功或不成功的访问
11.对数据库结构的更改
12.对用户角色或数据库权限的更改
13.数据库管理员操作
14.数据库登录和注销
15.修改数据
16.使用可执行命令。
事件日志详细信息
对于记录的每个事件,需要记录足够的详细信息才能使事件日志有用。
对于记录的每个事件,都会记录事件的日期和时间、相关用户或过程、事件描述以及所涉及的ICT设备。
事件日志保护
有效的事件日志保护和存储(从创建到销毁)可确保捕获的事件日志的完整性、可用性和不可否认性。
事件日志受到保护,防止未经授权的访问、修改和删除。
事件日志保留
由于事件日志可能有助于网络安全事件后的调查,因此理想情况下,它们应该在系统的生命周期内保留,并且可能更长。但是,根据澳大利亚国家档案馆(NAA)的行政职能处置局快速版本2出版物,这些记录的最低保留要求为七年。
事件日志根据NAA的行政职能处置机构快速版本2发布保留至少7年。
Domain名称系统和代理日志至少保留18个月。
事件日志审核过程
事件日志审核是维护系统安全状况不可或缺的一部分。此类活动可以帮助检测和归因任何违反安全策略的行为,包括网络安全事件。
开发和实施了Event日志审核过程和支持事件日志审核过程,涵盖审核的范围和计划、构成违反安全策略的内容以及检测到违规行为时要采取的操作,包括报告要求。
事件跨事件日志关联,以优先处理审核和重点调查。
| 注:本文档翻译参考来源为澳大利亚ACSC,部分内容在本文中做了技术性调整,具体实施请参考我国有关标准,本文仅为大家提供一个信息安全的思路拓展。 |
原文始发于微信公众号(祺印说信安):信息安全手册之系统监视指南
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论