事件记录和监控
事件记录策略
通过制定事件日志记录策略,考虑到服务提供商与其客户之间的任何共同责任,组织可以提高其在系统上检测到恶意行为的机会。在此过程中,事件日志记录策略应涵盖要记录的事件的详细信息、要使用的事件日志记录设施、如何监控事件日志以及保留事件日志的时间。
制定、实施和维护事件日志记录策略。
事件日志详细信息
对于记录的每个事件,需要记录足够的详细信息,以使事件日志有用。
对于记录的每个事件,都会记录事件的日期和时间、相关用户或流程、相关文件名、事件描述以及所涉及的信息技术设备。
集中事件记录设施
集中式事件日志记录工具可用于以协调的方式捕获、保护和管理来自多个来源的事件日志。这可以通过使用安全信息和事件管理解决方案来实现。此外,为了支持集中式事件日志记录工具,重要的是建立准确的时间源并在系统中一致使用,以帮助识别事件之间的联系。
实施集中事件日志记录设施,事件日志在发生后尽快发送到该设施。
事件日志受到保护,不得未经授权的修改和删除。
建立准确的时间源并在系统间一致使用,以帮助识别事件之间的联系。
事件日志监控
事件日志监控对于维护系统的安全态势至关重要。值得注意的是,此类活动涉及及时分析事件日志以检测网络安全事件,从而识别网络安全事件。
及时分析面向互联网的服务器的事件日志,以检测网络安全事件。
及时分析来自非面向互联网的服务器的事件日志,以检测网络安全事件。
及时分析工作站的事件日志,以检测网络安全事件。
及时分析网络安全事件,以识别网络安全事故。
事件日志保留
事件日志的保留对于系统监控、搜寻和网络安全事件响应活动至关重要。因此,跨域解决方案、数据库、域名系统服务、电子邮件服务器、网关、多功能设备、操作系统、远程访问服务、安全服务、服务器应用程序、系统访问、用户应用程序、Web 应用程序和 Web 代理的事件日志应保留一段适当的时间,以促进这些活动的开展。
事件日志(域名系统服务和 Web 代理的事件日志除外)至少保留七年。
域名系统服务和 Web 代理的事件日志至少保留 18 个月。
— 欢迎关注
原文始发于微信公众号(祺印说信安):信息安全手册:系统监控指南
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论