useammat yritykset käyttävät tietoturvalokejaan haittaohjelmien havaitsemiseen. Monet niistä keräävät liikaa lokitietoja-usein miljardeja tapahtumia. He kehuskelevat lokin tallennusasemien koosta. Mitataanko ne teratavuina vai petatavuina?
datavuori ei anna heille niin paljon hyödyllistä tietoa kuin he haluaisivat. Joskus vähemmän on enemmän. Jos saat niin paljon hälytyksiä, että et pysty vastaamaan niihin kaikkiin riittävästi, niin jonkin on muututtava. Keskitetty lokinhallintajärjestelmä voi auttaa. Tämä nopea tutustuminen kirjaamiseen ja asiantuntijoiden suositukset auttavat uusia järjestelmän ylläpitäjiä ymmärtämään, mitä heidän pitäisi tehdä saadakseen kaiken irti tietoturvalokeista.
Security event logging basics
yksi parhaista ohjeista tietoturvalokiin on National Instituted of Standards & Technology (NIST) – erikoisjulkaisu 800-92, Guide to Computer Security Log Management. Vaikka se on hieman päivätty, kirjoitettu vuonna 2006, se kattaa edelleen hyvin turvallisuus lokinhallinnan perusteet.
se jakaa turvaloggaajat kolmeen kategoriaan: käyttöjärjestelmä, sovellus tai tietoturvakohtainen ohjelmisto (esim.palomuurit tai tunkeutumisen tunnistusjärjestelmät). Useimmissa tietokoneissa on kymmeniä lokeja. Microsoft Windows-tietokoneissa on kolme pääasiallista, binääristä tapahtumalokia: järjestelmä, sovellus ja turvallisuus. Valitettavasti nimet voivat olla harhaanjohtavia, ja todisteet turvallisuustapahtumista tallennetaan usein kaikkiin kolmeen lokiin.
Windows Vistan jälkeen nämä kolme päälokitiedostoa on jaettu lähes sataan eri näkymään tarkemman digestion aikaansaamiseksi. Ainakin tusina on teksti-tai binäärilokeja, vaikka mitään muuta sovellusta ei ole asennettu. Unix-tyylisessä järjestelmässä on yleensä keskitetty syslog-tiedosto yhdessä muiden tekstipohjaisten lokitiedostojen kanssa kaikille eri sovelluksille ja daemoneille. Monet ylläpitäjät ohjaavat yksittäiset tiedostot pääasialliseen syslog-tiedostoon keskittämään asioita.
älypuhelimissa ja muissa tietojenkäsittelylaitteissa on yleensä myös lokitiedostoja. Useimmat ovat samanlaisia kuin syslog, mutta niitä ei voi helposti katsella tai käyttää. Useimmat vaativat, että laite laitetaan erityiseen virheenjäljitystilaan tai Ladataan lisäohjelmistoja lokitiedostojen tarkastelua tai määrittämistä varten. Yksi poikkeus on iPhone crash lokit,jotka synkronoidaan iTunes isäntätietokoneeseen jokaisen yhteyden.
mobiililaitteiden Tietoturvalokitiedostoja on paljon vaikeampi käyttää ja paljon vähemmän hyödyllisiä, kun sen tekee. Saatat saada perustietoa tietoturvatapahtumasta, mutta paljon vähemmän yksityiskohtia kuin mitä saat keskimääräisestä henkilökohtaisesta tietokoneesta. Monet ylläpitäjät asentavat kolmannen osapuolen sovelluksen, joka kerää perusteellisempia tietoturvalokitietoja mobiililaitteesta.
Windows ottaa oletusarvoisesti käyttöön useimmat lokitiedostot, vaikka joudut ehkä määrittelemään, minkä tason kirjaamisen haluat. Mahdollisimman yksityiskohtien kytkeminen päälle tulee tehdä vain tietyn tarpeen aikana tai kun yritetään seurata aktiivista, tunnettua tietoturvatapahtumaa. Muuten tapahtumaviestien määrä voi nopeasti hukuttaa järjestelmän. Monet järjestelmät ovat kaatuneet, koska hyvää tarkoittavat järjestelmänvalvojat ottivat käyttöön tarkimmat kirjaukset auttaakseen jonkin diagnosoinnissa ja unohtivat sitten kytkeä sen pois päältä.
Unix-tyylisissä järjestelmissä on yleensä oletusarvoisesti syslog käytössä, ja yksityiskohtatason voi määrittää. Monet muut sovellus-ja suojauslokitiedostot ovat oletusarvoisesti pois käytöstä, mutta voit ottaa jokaisen käyttöön yksittäin yhdellä komentorivillä.
jokainen verkkolaite ja tietoturvasovellus ja-laite luo omat lokinsa. Kaiken kaikkiaan, järjestelmänvalvoja on satoja lokitiedostoja valita. Tyypillinen loppukäyttäjäjärjestelmä voi tuottaa tuhansia tai kymmeniä tuhansia tapahtumia päivässä. Palvelin voi helposti tuottaa satoja tuhansia miljoonia tapahtumia päivässä.
kärki: Ellet tiedä meneillään olevaa tietoturvatapahtumaa, lokin oletusasetukset antavat enemmän kuin tarpeeksi tietoa useimpiin tietoturvatarpeisiin. Aloita oletuksista ja lisää lokitiedostoja ja yksityiskohtia vain tarpeen mukaan. Jos käynnistät yksityiskohtaisen kirjaamisen, tee muistutus siitä, että suljet ylimääräiset yksityiskohdat myöhemmin, jotta et unohda.
keskitetty tietoturvatapahtumien kirjaaminen
jokainen ylläpitäjä haluaa kerätä jokaisen tietokoneen yleisimmät oletuslokitiedostot keskitettyyn sijaintiin. Kaikkien tietojen yhdistämisen arvoa keskitettyyn tietokantaan hälytystä ja analysointia varten ei yksinkertaisesti voi aliarvioida. Kysymys kuuluu: miten kokoat kaikki tiedot ja kuinka paljon?
useimmilla järjestelmillä on kyky lähettää tärkeimmät lokitiedostonsa keskitettyyn sijaintiin. Saat lähes aina paljon enemmän arvoa ja monipuolisuutta käyttämällä kolmannen osapuolen agenttia, joka on rakennettu juuri tapahtumalokitietojen keräämiseen ja lähettämiseen. Monet ylläpitäjät käyttävät siihen ilmaisia apuohjelmia, mutta useimmat kaupalliset vaihtoehdot ovat parempia.
haluat keskitetyn lokinhallintajärjestelmän, joka kerää, tallentaa ja analysoi kaiken datan. Valittavana on satoja vaihtoehtoja ja myyjiä. Sinulla on vain ohjelmisto ja laite vaihtoehtoja, joista jälkimmäinen helpommin tarjoaa paremman suorituskyvyn useimmissa tapauksissa. Valitse vaihtoehto, jonka avulla voit tehokkaasti ja turvallisesti kerätä tapahtumatietoja useimmista lähteistä. Et halua lähettää tapahtumalokitietoja langalla selkeänä tekstinä. Tapahtumalokin hallintaohjelmiston on koottava tiedot, normalisoitava ne (muunnettava ne yhteiseen muotoon), varoitettava poikkeavista tapahtumista ja sallittava kyselyiden suorittaminen.
ennen kuin valitset jonkin ratkaisun, kokeile ennen ostamista. Haluat pystyä kirjoittamaan mihin tahansa kyselyyn ja saada vastauksen kohtuullisessa ajassa. Jos odotat vastausta 10-15 sekuntia, käytät tapahtumalokianalyysiä vähemmän ja se alkaa menettää arvoaan.
useimmat yritykset keräävät kaikki tiedot pääasiallisista oletuslokitiedostoista, ja se voi olla helposti ylivoimaista sekä verkon käyttöaste-että tallennusnäkymistä. Tarkoitan tätä kirjaimellisesti, En kuvaannollisesti. Useimmilla kokeneilla ylläpitäjillä on tarina siitä, kuinka heidän tapahtumalokiensa kokoaminen murskasi heidän verkkonsa suorituskyvyn, kunnes he optimoivat tapahtumien kirjaamisen.
mitä tahansa teetkin, älä vain kerää tietoja palvelimilta. Nykyään useimmat kompromissit alkavat loppukäyttäjien työasemista. Jos et kerää lokitiedostoja asiakastietokoneista, menetät suurimman osan arvokkaista tiedoista.
kärki: Luo paikallisjärjestelmään niin paljon yksityiskohtia kuin tarvitset, mutta suodata ja lähetä vain arvokkaimmat ja kriittisimmät tapahtumat keskitettyyn lokinhallintajärjestelmääsi. Lähetä mitä tarvitaan hälytysten tuottamiseen kaikista tärkeimmistä turvallisuustapahtumista, mutta jätä loput paikalliseen järjestelmään. Voit aina hakea lisätiedot tarvittaessa. Tällä menetelmällä, voit saada tietoja sinun täytyy saada hälytyksiä ja aloittaa rikostekniset tutkimukset, mutta ilman ylivoimainen verkko-ja tallennuslaitteet. On aina mahdollista, että pahis voi poistaa paikallisen tapahtumalokin tiedot ennen kuin voit hakea sen, mutta käytännössä en ole juuri koskaan nähnyt niin tapahtuvan.
hyödyllisten Lokitietojen saaminen
vaikeinta kaikissa tapahtumalokien hallintajärjestelmissä on saada tarpeeksi tietoa, jotta kaikki tarvittavat tietoturvatapahtumat voidaan havaita, mutta ei liikaa melua. Jopa tehokkaimmissa hallintajärjestelmissä suurin osa kerätystä tapahtumalokidatasta on melua. Se on vain tapa, jolla tapahtumalokin hallinta toimii.
vinkki: varmista, että päivämäärä ja kellonaika on asetettu oikein kaikissa järjestelmissäsi. Kun yrittää korreloida tapahtumia, pitää olla tarkka aika.
missä tapahtumalokin hallintajärjestelmät osoittavat niiden todellisen arvon olevan siinä, kuinka hyvin ne suodattavat tarpeetonta melua ja varoittavat hyödyllisistä tapahtumista. Kriittisten tapahtumien pitäisi aina johtaa välittömään hälytykseen ja reagoivaan tutkintaan. Tapahtumatiedot olisi määriteltävä toimintakelpoisiksi, kun tapahtumatiedot osoittavat, että on erittäin todennäköistä, että toiminta on haitallista, järjestelmän toiminta on liiallista (jatkuvaa), järjestelmän toiminta on odottamatonta (jatkuvaa) tai sen toiminta on keskeytynyt tai sen toiminta on kriittisen sovelluksen suorituskykyyn liittyviä ongelmia tai vika.
hyvässä tapahtumalokin hallintajärjestelmässä on ennalta määritellyt yhteiset hälytykset (esim.liian suuret tilinsulut), ja sen avulla järjestelmänvalvojat voivat luoda omia tapahtumia (poikkeamat odotetuista lähtökohdista, jotka ylittävät tietyn kynnysarvon). Hälytykseen voi tarvita useita korreloivia tapahtumia useista järjestelmistä. Riippuen tapahtuman harvinaisuudesta, yksittäinen tapahtuma (esim.kirjautuminen väärennetylle ”trap” – tilille) riittää hälytyksen luomiseen. Hyvä järjestelmä tulee tapahtumia useimmat ylläpitäjät haluavat varoittaa ja tarpeeksi suodattimia slough pois roskaa.
Vihje: aloita määrittelemällä kaikki tapahtumat, jotka liittyvät yrityksesi viimeisimpiin ja todennäköisimpiin tuleviin onnistuneisiin hyökkäyksiin, ja selvitä sitten, mitkä tapahtumaviestit ja hälytykset sinun on määriteltävä havaitaksesi ja pysäyttääksesi kyseiset hyökkäykset. Sinulla on monia, monia tietoturvatapahtumia murehtia, mutta ne tärkeimmät seurata ja varoittaa niistä todennäköisimmin käytetään tulevaisuudessa vastaan yrityksesi.
hyvässä tapahtumien kirjaamisessa on kyse tarvittavien kriittisten tapahtumien ja hälytysten vetämisestä pois muutoin valtavasta tietomäärästä. Ongelma useimmille ylläpitäjille ei ole saada tarpeeksi tietoa, vaan saada todella hyödyllistä tietoa ulos ylivoimainen tsunami tapahtumia. Hyvä tapahtumalokin hallintajärjestelmä auttaa siinä.