Immer mehr Unternehmen verwenden ihre Sicherheitsprotokolle, um böswillige Vorfälle zu erkennen. Viele von ihnen sammeln zu viele Protokolldaten – oft Milliarden von Ereignissen. Sie prahlen mit der Größe ihrer Log Storage Drive Arrays. Werden sie in Terabyte oder Petabyte gemessen?
Ein Berg von Daten gibt ihnen nicht so viele nützliche Informationen, wie sie möchten. Manchmal ist weniger mehr. Wenn Sie so viele Warnungen erhalten, dass Sie nicht auf alle angemessen reagieren können, muss sich etwas ändern. Ein zentralisiertes Protokollverwaltungssystem kann helfen. Diese kurze Einführung in die Protokollierung und Expertenempfehlungen helfen neuen Systemadministratoren zu verstehen, was sie tun sollten, um das Beste aus Sicherheitsprotokollen herauszuholen.
Grundlagen der Sicherheitsereignisprotokollierung
Einer der besten Anleitungen zur Sicherheitsprotokollierung ist das National Instituted of Standards & Technology (NIST) Special Publication 800-92, Guide to Computer Security Log Management. Obwohl es ein bisschen veraltet ist, im Jahr 2006 geschrieben, deckt es immer noch die Grundlagen der Sicherheitsprotokollverwaltung gut ab.
Es ordnet Sicherheitsprotokollgeneratoren in drei Kategorien ein: betriebssystem-, anwendungs- oder sicherheitsspezifische Software (z. B. Firewalls oder Intrusion Detection-Systeme). Die meisten Computer haben Dutzende von Protokollen. Microsoft Windows-Computer verfügen über drei binäre Ereignisprotokolle: System, Anwendung und Sicherheit. Leider können die Namen irreführend sein, und Hinweise auf Sicherheitsereignisse werden häufig in allen drei Protokollen gespeichert.
Seit Windows Vista sind diese drei Hauptprotokolldateien für eine fokussiertere Verdauung in fast hundert verschiedene Ansichten unterteilt. Mindestens ein Dutzend sind Text- oder Binärprotokolle, auch ohne dass eine andere Anwendung installiert ist. Ein System im Unix-Stil verfügt normalerweise über eine zentralisierte Syslog-Datei zusammen mit anderen textbasierten Protokolldateien für alle verschiedenen Anwendungen und Daemons. Viele Administratoren leiten die einzelnen Dateien in die Haupt-Syslog-Datei um, um die Dinge zu zentralisieren.
Smartphones und andere Computergeräte haben normalerweise auch Protokolldateien. Die meisten ähneln Syslog, können jedoch nicht einfach angezeigt oder aufgerufen werden. Die meisten erfordern, dass das Gerät in einen speziellen Debug-Protokollierungsmodus versetzt wird oder zusätzliche Software heruntergeladen wird, um die Protokolldateien anzuzeigen oder zu konfigurieren. Eine Ausnahme bilden iPhone-Absturzprotokolle, die von iTunes bei jeder Verbindung mit dem Host-PC synchronisiert werden.
Sicherheitsprotokolldateien auf mobilen Geräten sind viel schwieriger zugänglich und viel weniger nützlich, wenn Sie dies tun. Möglicherweise können Sie grundlegende Informationen zu einem Sicherheitsereignis abrufen, jedoch mit weitaus weniger Details, als Sie von einem durchschnittlichen PC erhalten. Viele Administratoren installieren eine Drittanbieteranwendung, um gründlichere Sicherheitsprotokolldaten von einem mobilen Gerät zu sammeln.
Windows aktiviert die meisten Protokolldateien standardmäßig, obwohl Sie möglicherweise definieren müssen, welche Protokollierungsstufe Sie wünschen. Das Aktivieren der größtmöglichen Details sollte nur während eines bestimmten Bedarfs oder beim Versuch, ein aktives, bekanntes Sicherheitsereignis zu verfolgen, erfolgen. Andernfalls kann die Anzahl der Ereignismeldungen ein System schnell überfordern. Viele Systeme sind abgestürzt, weil wohlmeinende Systemadministratoren die detaillierteste Protokollierung aktiviert haben, um bei der Diagnose zu helfen, und dann vergessen haben, sie auszuschalten.
Auf Systemen im Unix-Stil ist Syslog normalerweise standardmäßig aktiviert, und Sie können die Detailebene konfigurieren. Viele andere Anwendungs- und Sicherheitsprotokolldateien sind standardmäßig deaktiviert, aber Sie können jede einzeln mit einer einzigen Befehlszeile aktivieren.
Jedes Netzwerkgerät, jede Sicherheitsanwendung und jedes Gerät generiert seine eigenen Protokolle. Insgesamt hat ein Systemadministrator Hunderte von Protokolldateien zur Auswahl. Ein typisches Endbenutzersystem kann Tausende bis Zehntausende von Ereignissen pro Tag generieren. Ein Server kann leicht Hunderttausende bis Millionen von Ereignissen pro Tag generieren.
Tipp: Sofern Sie kein laufendes Sicherheitsereignis kennen, bieten die Standardprotokolleinstellungen mehr als genügend Informationen für die meisten Sicherheitsanforderungen. Beginnen Sie mit den Standardeinstellungen und fügen Sie Protokolldateien und Details nur nach Bedarf hinzu. Wenn Sie die detaillierte Protokollierung aktivieren, erinnern Sie sich, die zusätzlichen Details später zu deaktivieren, damit Sie sie nicht vergessen.
Zentralisierte Protokollierung von Sicherheitsereignissen
Jeder Administrator möchte die gängigsten Standardprotokolldateien jedes Computers an einem zentralen Ort sammeln. Der Wert der Aggregation aller Daten in einer zentralen Datenbank zur Alarmierung und Analyse ist einfach nicht zu unterschätzen. Die Frage ist: Wie aggregieren Sie all diese Daten und wie viel?
Die meisten Systeme haben die Möglichkeit, ihre Hauptprotokolldateien an einen zentralen Speicherort zu senden. Sie erhalten fast immer viel mehr Wert und Vielseitigkeit, wenn Sie einen Drittanbieter-Agenten verwenden, der genau für das Sammeln und Senden von Ereignisprotokollinformationen entwickelt wurde. Viele Administratoren verwenden dafür kostenlose Dienstprogramme, aber die meisten kommerziellen Optionen sind besser.
Sie benötigen ein zentralisiertes Protokollverwaltungssystem, um alle Daten zu sammeln, zu speichern und zu analysieren. Es stehen Hunderte von Optionen und Anbietern zur Auswahl. Sie haben reine Software- und Appliance-Optionen, wobei letztere in den meisten Fällen leichter eine bessere Leistung bieten. Wählen Sie eine Option, mit der Sie Ereignisdaten aus den meisten Quellen effizient und sicher erfassen können. Sie möchten keine Ereignisprotokolldaten im Klartext über die Leitung senden. Die Ereignisprotokollverwaltungssoftware muss die Daten aggregieren, normalisieren (in ein gängiges Format konvertieren), bei anomalen Ereignissen warnen und die Ausführung von Abfragen ermöglichen.
Bevor Sie eine Lösung auswählen, versuchen Sie es vor dem Kauf. Sie möchten in der Lage sein, jede Abfrage einzugeben und in angemessener Zeit eine Antwort zu erhalten. Wenn Sie 10 bis 15 Sekunden auf eine Antwort warten, verwenden Sie die Ereignisprotokollanalyse weniger und sie verliert an Wert.
Die meisten Unternehmen erfassen alle Daten aus den standardmäßigen Hauptprotokolldateien, und sie können sowohl aus Sicht der Netzwerkauslastung als auch des Speichers leicht überwältigend sein. Ich meine das wörtlich, nicht bildlich. Die meisten erfahrenen Administratoren haben eine Geschichte darüber, wie die Aggregation ihrer Ereignisprotokolle die Leistung ihres Netzwerks beeinträchtigt hat, bis sie ihre Ereignisprotokollierung optimiert haben.
Was auch immer Sie tun, sammeln Sie nicht nur Informationen von Servern. Heutzutage gehen die meisten Kompromisse von Endbenutzer-Workstations aus. Wenn Sie die Protokolldateien nicht von Clientcomputern erfassen, fehlen Ihnen die meisten wertvollen Daten.
Tipp: Generieren Sie so viele Details, wie Sie auf dem lokalen System benötigen, filtern Sie jedoch und senden Sie nur die wertvollsten und kritischsten Ereignisse an Ihr zentrales Protokollverwaltungssystem. Senden Sie alles, was benötigt wird, um Warnungen für alle Ihre wichtigsten Sicherheitsereignisse zu generieren, aber lassen Sie den Rest auf dem lokalen System. Sie können die hinzugefügten Details bei Bedarf jederzeit abrufen. Mit dieser Methode können Sie die Daten abrufen, die Sie benötigen, um Warnungen zu erhalten und forensische Untersuchungen zu starten, ohne jedoch Ihr Netzwerk und Ihre Speichergeräte zu überlasten. Es besteht immer die Möglichkeit, dass ein Bösewicht die lokalen Ereignisprotokolldaten löschen kann, bevor Sie sie abrufen können, aber in der Praxis habe ich das fast nie gesehen.
Abrufen nützlicher Protokollinformationen
Der schwierigste Teil eines Ereignisprotokollverwaltungssystems besteht darin, genügend Informationen zu erhalten, um alle erforderlichen Sicherheitsereignisse erkennen zu können, ohne Ihr System mit zu viel Rauschen zu überfordern. Selbst in den effizientesten Managementsystemen werden die meisten gesammelten Ereignisprotokolldaten gelöscht. Es ist nur die Art und Weise Ereignisprotokoll-Management funktioniert.
Tipp: Stellen Sie sicher, dass Datum und Uhrzeit auf allen Ihren Systemen korrekt eingestellt sind. Wenn Sie versuchen, Ereignisse zu korrelieren, müssen Sie eine genaue Zeit haben.
Wo Ereignisprotokollverwaltungssysteme zeigen, dass ihr wirklicher Wert darin besteht, wie gut sie das unnötige Rauschen filtern und auf nützliche umsetzbare Ereignisse aufmerksam machen. Kritische Ereignisse sollten immer zu einer sofortigen Warnung und einer reaktionsfähigen Untersuchung führen. Ein Ereignisdatensatz sollte als umsetzbar definiert werden, wenn der Ereignisdatensatz eine hohe Wahrscheinlichkeit böswilliger Aktivitäten, übermäßiger (anhaltender) Systemaktivität, unerwarteter (anhaltender) Abnahme der Systemaktivität oder geschäftskritischer Anwendungsprobleme oder -fehler anzeigt.
Ein gutes Ereignisprotokollverwaltungssystem enthält vordefinierte allgemeine Warnungen (z. B. übermäßige Kontosperrungen) und ermöglicht es Administratoren, eigene Ereignisse zu erstellen (Abweichungen von erwarteten Baselines, die einen bestimmten Schwellenwert überschreiten). Es können mehrere korrelierte Ereignisse von mehreren Systemen erforderlich sein, um eine Warnung zu generieren. Abhängig von der Seltenheit des Ereignisses reicht ein einzelnes Ereignis (z. B. die Anmeldung bei einem gefälschten „Trap“ -Konto) aus, um eine Warnung zu generieren. Ein gutes System enthält die Ereignisse, bei denen die meisten Administratoren warnen möchten, und genügend Filter, um den Müll zu beseitigen.
Tipp: Definieren Sie zunächst alle Ereignisse, die sich auf die jüngsten und wahrscheinlichsten zukünftigen erfolgreichen Angriffe Ihres Unternehmens beziehen, und finden Sie dann heraus, welche Ereignismeldungen und Warnungen Sie definieren müssen, um diese Angriffe zu erkennen und zu stoppen. Sie haben viele, viele Sicherheitsereignisse, über die Sie sich Sorgen machen müssen, aber die wichtigsten, die Sie überwachen und alarmieren müssen, sind diejenigen, die in Zukunft am wahrscheinlichsten gegen Ihr Unternehmen eingesetzt werden.
Bei einer guten Ereignisprotokollierung geht es darum, die notwendigen kritischen Ereignisse und Warnungen aus einer ansonsten überwältigenden Menge an Informationen herauszuholen. Das Problem für die meisten Administratoren besteht darin, nicht genügend Informationen zu erhalten, sondern die wirklich nützlichen Informationen aus einem überwältigenden Tsunami von Ereignissen herauszuholen. Ein gutes Ereignisprotokollverwaltungssystem hilft Ihnen dabei.