Více společností používá své bezpečnostní protokoly k detekci škodlivých incidentů. Mnoho z nich shromažďuje příliš mnoho dat protokolu—často miliardy událostí. Chlubí se velikostí svých polí pro ukládání protokolů. Měří se v terabajtech nebo petabajtech?

Hora dat jim nedává tolik užitečných informací, kolik by chtěli. Někdy méně je více. Pokud dostanete tolik upozornění, že na ně nemůžete adekvátně reagovat, pak se něco musí změnit. Centralizovaný systém správy protokolů může pomoci. Tento rychlý úvod do protokolování a odborná doporučení pomáhají novým správcům systému pochopit, co by měli dělat, aby z bezpečnostních protokolů vytěžili maximum.

Zabezpečení protokolování událostí základy

Jeden z nejlepších průvodců k zabezpečení přihlašování je Národní Ustanoveny Normy & Technologie (NIST) Zvláštní Publikace 800-92, Průvodce k Počítačové Bezpečnosti, Log Management. I když je to trochu datované, napsané v roce 2006, stále pokrývá základy správy bezpečnostních protokolů dobře.

řadí generátory bezpečnostních protokolů do tří kategorií: operační systém, aplikace nebo bezpečnostní software (např. firewally nebo systémy detekce narušení). Většina počítačů má desítky protokolů. Počítače Microsoft Windows přicházejí se třemi hlavními protokoly binárních událostí: systém, aplikace a zabezpečení. Jména mohou být bohužel zavádějící a důkazy o bezpečnostních událostech jsou často uloženy ve všech třech protokolech.

od systému Windows Vista jsou tyto tři hlavní soubory protokolu rozděleny do téměř stovky různých pohledů pro cílenější trávení. Nejméně tucet je textových nebo binárních protokolů, a to i bez nainstalované jiné aplikace. Systém Unix stylu má obvykle centralizovaný soubor syslog spolu s dalšími textovými soubory protokolu pro všechny různé aplikace a démony. Mnoho správců přesměruje jednotlivé soubory do hlavního souboru syslog, aby centralizovalo věci.

smartphony a další výpočetní zařízení mají obvykle také soubory protokolu. Většina z nich je podobná syslogu, ale nelze je snadno zobrazit ani přistupovat. Většina z nich vyžaduje, aby bylo zařízení uvedeno do zvláštního režimu protokolování ladění nebo stáhnout další software pro zobrazení nebo konfiguraci souborů protokolu. Jednou z výjimek jsou protokoly selhání iPhone, které jsou synchronizovány iTunes s hostitelským počítačem při každém připojení.

soubory protokolu zabezpečení na mobilních zařízeních jsou mnohem těžší přístup a mnohem méně užitečné, jakmile to uděláte. Možná budete moci získat základní informace o bezpečnostní události, ale s mnohem méně podrobnostmi, než můžete získat z průměrného osobního počítače. Mnoho správců instaluje aplikaci třetí strany, aby shromažďovala důkladnější data protokolu zabezpečení z mobilního zařízení.

systém Windows ve výchozím nastavení povoluje většinu souborů protokolu, i když možná budete muset definovat, jakou úroveň protokolování chcete. Zapnutí nejvíce podrobností by mělo být provedeno pouze během konkrétní potřeby nebo při pokusu sledovat aktivní, známý událostí zabezpečení. V opačném případě může počet zpráv o událostech systém rychle přemoci. Mnoho systémů bylo havarováno, protože dobře mínění správci systému zapnuli nejpodrobnější protokolování, aby pomohli s diagnostikou něčeho, a pak jej zapomněli vypnout.

unixové systémy mají obvykle ve výchozím nastavení povolen syslog a můžete nakonfigurovat úroveň podrobností. Mnoho dalších souborů protokolu aplikací a zabezpečení je ve výchozím nastavení zakázáno, ale můžete je povolit jednotlivě pomocí jediného příkazového řádku.

každé síťové zařízení a bezpečnostní aplikace a zařízení vygenerují své vlastní protokoly. Celkově bude mít správce systému na výběr stovky souborů protokolu. Typický systém koncového uživatele může generovat tisíce až desítky tisíc událostí denně. Server může snadno generovat stovky tisíc až miliony událostí denně.

Tip: Pokud víte o probíhající bezpečnostní události, výchozí nastavení protokolu poskytne více než dostatek informací pro většinu bezpečnostních potřeb. Začněte s výchozími hodnotami a přidejte soubory protokolu a podrobnosti pouze podle potřeby. Pokud zapnete podrobné protokolování, připomeňte si, abyste později vypnuli další podrobnosti, abyste nezapomněli.

Centralizované zabezpečení protokolování událostí

Každý správce chce shromáždit nejčastější výchozí log soubory z každého počítače do centralizovaného umístění. Hodnota při agregaci všech dat do centralizované databáze pro upozornění a analýzu jednoduše nelze podceňovat. Otázka zní: Jak všechna ta data agregujete a kolik?

většina systémů má možnost posílat své hlavní soubory protokolu na centralizované umístění. Téměř vždy získáte mnohem větší hodnotu a všestrannost pomocí agenta třetí strany vytvořeného přesně pro shromažďování a odesílání informací o protokolu událostí. Mnoho administrátorů k tomu používá bezplatné nástroje, ale většina komerčních možností je lepší.

budete chtít, aby centralizovaný systém správy protokolů shromažďoval, ukládal a analyzoval všechna data. Existují stovky možností a dodavatelů, mezi nimiž si můžete vybrat. Máte pouze software a možnosti zařízení, s druhým snadněji poskytuje lepší výkon ve většině případů. Vyberte možnost, která vám umožní efektivně a bezpečně shromažďovat data událostí z většiny vašich zdrojů. Nechcete posílat data protokolu událostí přes drát v jasném textu. Software pro správu protokolu událostí musí data agregovat, normalizovat (převést do společného formátu), upozornit na anomální události a umožnit vám spouštět dotazy.

před výběrem jakéhokoli řešení zkuste před nákupem. Chcete mít možnost zadat jakýkoli dotaz a získat odpověď v přiměřeném čase. Pokud počkáte 10 až 15 sekund na odpověď, použijete analýzu protokolu událostí méně a začne ztrácet svou hodnotu.

většina společností shromažďuje všechna data z hlavních výchozích souborů protokolu a může být snadno ohromující, a to jak z hlediska propustnosti využití sítě, tak z hlediska úložiště. Myslím to doslova, ne obrazně. Většina zkušených správců má příběh o tom, jak agregace jejich protokolů událostí rozdrtila výkon jejich sítě, dokud optimalizovali protokolování událostí.

ať už děláte cokoli, neshromažďujte pouze informace ze serverů. Dnes většina kompromisů začíná od pracovních stanic koncových uživatelů. Pokud neshromažďujete soubory protokolu z klientských počítačů, bude vám chybět většina cenných dat.

Tip: Vygenerujte v místním systému tolik detailů, kolik potřebujete, ale filtrujte a posílejte do svého centralizovaného systému správy protokolů pouze ty nejcennější a nejkritičtější události. Pošlete vše, co je potřeba k vygenerování upozornění na všechny vaše nejdůležitější bezpečnostní události, ale zbytek nechte v místním systému. V případě potřeby můžete vždy načíst přidaný detail. Pomocí této metody, můžete získat data, která potřebujete, aby si upozornění a začít soudní vyšetřování, ale bez přetěžování sítě a paměťových zařízení. Vždy existuje šance, že špatný člověk může odstranit místní data protokolu událostí, než je budete moci načíst, ale v praxi jsem to téměř nikdy neviděl.

jak získat užitečné informace protokolu

nejtěžší část jakékoliv protokolu událostí systému řízení je dostatek informací, aby bylo možné zjistit všechny potřebné bezpečnostní události, přičemž není ohromující vašeho systému s příliš mnoho hluku. I v nejefektivnějších systémech správy bude většina shromážděných dat protokolu událostí šum. Je to jen způsob, jakým správa protokolu událostí funguje.

Tip: Ujistěte se, že datum a čas jsou správně nastaveny na všech vašich systémech. Při pokusu o korelaci událostí musíte mít přesný čas.

Kde event log systémy řízení ukáže jejich skutečná hodnota je v tom, jak dobře se filtrovat nepotřebné hluku a upozornění na užitečné žalovatelné události. Kritické události by měly vždy vést k okamžitému upozornění a citlivému vyšetřování. Událost, záznam by měl být definován jako žalovatelné, když záznam událostí označuje, silná pravděpodobnost, že škodlivé aktivity, nadměrné (setrvalá) činnost systému, neočekávané (trvalý) pokles aktivity systému, nebo mise kritické aplikace, problémy s výkonem nebo selhání.

dobrý event log management systém je dodáván s předem definovaného společného upozornění (např. nadměrné uzamčení účtu) a umožňují správcům vytvářet své vlastní události (odchylky od předpokládaných linií, které přesahují určitou prahovou hodnotu). Vygenerování výstrahy může vyžadovat více korelovaných událostí z více systémů. V závislosti na raritě události stačí k vygenerování upozornění jediná událost (např. přihlášení k falešnému účtu „pasti“). Dobrý systém přichází s událostmi, na které chce většina správců upozornit, a s dostatkem filtrů, aby odhrnuli nevyžádanou poštu.

Tip: Začněte tím, že definuje všechny události týkající se vaší společnosti, je nejnovější a nejvíce pravděpodobné, že budoucí úspěšné útoky, a pak zjistit, které události, zprávy a upozornění, budete muset definovat, detekovat a zastavit ty útoky. Máte mnoho, mnoho bezpečnostních událostí se obávat, ale ty nejdůležitější sledovat a upozorňovat na ty s největší pravděpodobností budou použity v budoucnu proti vaší společnosti.

Dobrý protokolování událostí je o vytažení potřebné kritické události a upozornění z jinak ohromující množství informací. Problém pro většinu administrátorů není dostatek informací, ale při získávání skutečně užitečných informací z ohromující tsunami událostí. Dobrý systém pro správu protokolu událostí vám to pomůže.