网络安全的 10 个步骤之日志记录和监控分析
设计系统,使其能够检测和调查事件。
收集日志对于了解系统是如何使用的至关重要,并且是安全(或保护性)监控的基础。如果出现问题或潜在的安全事件,良好的日志记录实践将能够回顾发生的事情并了解事件的影响。安全监控更进一步,包括对日志信息进行主动分析,以寻找已知攻击或异常系统行为的迹象,使组织能够检测可能被视为安全事件的事件,并做出相应的响应,以最大限度地减少影响。
有什么好处?
良好的日志记录实践提供了理解、跟踪和响应系统和安全事件的能力
安全监控提供对系统的洞察,并允许主动检测威胁和潜在的安全事件
安全监控为系统引入了额外的防御层
主动监控系统提供了对早期入侵迹象做出反应的机会,这意味着组织可以有效地做出反应
该怎么办?
了解日志记录和监控目标
在设计监控解决方案时,应该与系统环境、组织面临的威胁以及可用的资源成比例。这样做将构建一张图,能够确定实际比例。此图将帮助确定适合系统的监控级别。没有一刀切的解决方案,可能只是收集日志以防万一安全事件适合。
相反,组织可能会频繁遭受网络攻击,或者可能需要通过监控控制来解决风险,这可能需要一个能够检测和响应高级攻击的安全运营中心 (SOC)。
在所有级别,主要优先事项应该是能够响应事件,为此,需要日志。NCSC 的安全日志简介指南提供了一个很好的起点,将帮助组织设计一种日志记录方法,以帮助回答事件期间最关键的问题。
美国MITRE ATT&CK框架可帮助定义监控策略。是涉及可以使用的基于结果和威胁建模的方法
确保日志在需要时可用于分析
了解日志的存储位置,并确保具有适当的访问权限以便能够搜索它们。
确保日志保存足够长的时间,以便能够回答在事件期间会被问到的问题。检测到事件可能需要数月时间,因此 建议将最重要的日志存储至少 6 个月。保留日志数据的时间可能因每个来源而异,具体取决于存储的成本和可用性,以及不同数据类型的数量和实用性。规划存储翻转,避免磁盘填满和服务失败。
考虑要将哪些日志绘制到集中位置以跨数据集进行分析。对于某些数据集,根据需要调用这些日志存储可能是合适的。如果将日志发送到中央日志服务,请在适当的情况下使用传输加密和单向流控制。
开发一种方法以确保仍按预期捕获日志。这可能是日志消息停止集中到达时的自动警报,或者是未捕获定期测试事件时(应该捕获时)的警报。
保护日志免遭篡改,这样攻击者就很难隐藏他们的踪迹,而且您可以确信它们准确地代表了所发生的事情。
使用日志生成有用的见解
设置定义适当使用的安全策略并根据业务需求配置系统(结合风险评估)将使您能够开发监控服务,该服务分析日志以验证这些策略是否按预期执行或遵循。这对于确保所有用户活动符合相关法律或监管限制也很有用。
利用您对系统上下文的了解,根据预期的威胁创建检测警报。这有助于确保生成的警报与您组织的需求相关,并且该操作与告知风险相关。
考虑需要监控的位置,这应包括网络、设备和云服务(如适用)。监控解决方案既可以提供基于签名的功能来检测已知攻击,也可以提供启发式功能来检测异常系统行为。
制定事件响应计划
通过锻炼来测试检测事件的能力,并将从实际事件中吸取的任何经验教训融入监控解决方案中。许多组织仅在实际事件发生时才意识到他们的日志记录和监控系统已损坏或不足。积极锻炼可以帮助避免陷入困境并改善的系统。
确保组织的事件管理计划与日志记录和监控策略保持一致,以便已经有一个计划来处理监控系统可以检测到的任何事件。然后可以执行该计划以确保突出并解决任何与沟通和能力有关的问题,并且实践将使团队能够更自信地对任何真实事件做出反应。
随时了解情况
利用威胁情报。注册网络安全信息共享合作伙伴 CiSP,以接收并与行业和政府同行共享威胁信息和入侵指标。