Több vállalat használja biztonsági naplóit rosszindulatú események észlelésére. Sokan túl sok naplóadatot gyűjtenek—gyakran több milliárd eseményt. Dicsekednek a napló tároló meghajtó tömbök méretével. Terabyte-ban vagy petabyte-ban mérik őket?
az adatok hegye nem ad nekik annyi hasznos információt, amennyit szeretnének. Néha a kevesebb több. Ha olyan sok riasztást kap, hogy nem tud megfelelően reagálni mindegyikre, akkor valaminek meg kell változnia. A központosított naplókezelő rendszer segíthet. Ez a gyors bevezetés a naplózáshoz és a szakértői ajánlások segítenek az új rendszeradminisztrátoroknak megérteni, mit kell tenniük a biztonsági naplók maximális kihasználása érdekében.
biztonsági eseménynaplózás alapjai
a biztonsági naplózás egyik legjobb útmutatója a nemzeti szabványok létrehozása& Technology (NIST) speciális kiadvány 800-92, Guide to Computer Security Log Management. Bár kissé keltezett, 2006-ban írták, mégis jól lefedi a biztonsági napló kezelésének alapjait.
a biztonsági naplógenerátorokat három kategóriába sorolja: operációs rendszer, alkalmazás vagy biztonságspecifikus szoftver (pl. tűzfalak vagy behatolásérzékelő rendszerek ). A legtöbb számítógép több tucat naplóval rendelkezik. A Microsoft Windows számítógépek három fő, bináris eseménynaplót tartalmaznak: rendszer, alkalmazás és biztonság. Sajnos a nevek félrevezetőek lehetnek, és a biztonsági események bizonyítékai gyakran mindhárom naplóban tárolódnak.
A Windows Vista óta ez a három fő naplófájl közel száz különböző nézetre van bontva a koncentráltabb emésztés érdekében. Legalább egy tucat szöveges vagy bináris napló, még más alkalmazás telepítése nélkül is. A Unix-stílusú rendszer általában egy központosított syslog fájl mellett más szöveges alapú log fájlokat a különböző alkalmazások és démonok. Sok rendszergazda átirányítja az egyes fájlokat a fő syslog fájlba a dolgok központosítása érdekében.
az okostelefonok és más számítástechnikai eszközök általában naplófájlokat is tartalmaznak. A legtöbb hasonló a sysloghoz, de nem lehet őket könnyen megtekinteni vagy elérni. A legtöbb megköveteli, hogy az eszközt speciális hibakeresési naplózási módba helyezzék, vagy további szoftvereket töltsenek le a naplófájlok megtekintéséhez vagy konfigurálásához. Az egyik kivétel az iPhone összeomlási naplók, amelyeket az iTunes szinkronizál a gazdagéppel minden kapcsolat után.
a mobileszközökön lévő biztonsági naplófájlok sokkal nehezebben érhetők el, és sokkal kevésbé hasznosak. Lehet, hogy alapvető információkat kaphat egy biztonsági eseményről, de sokkal kevesebb részletességgel, mint amennyit egy átlagos személyi számítógépről kaphat. Számos rendszergazda telepít egy harmadik féltől származó alkalmazást, hogy alaposabb biztonsági naplóadatokat gyűjtsön egy mobil eszközről.
A Windows alapértelmezés szerint engedélyezi a legtöbb naplófájlt, bár előfordulhat, hogy meg kell határoznia, hogy milyen naplózási szintet szeretne. A lehető legrészletesebb bekapcsolást csak egy adott igény során vagy egy aktív, ismert biztonsági esemény nyomon követése közben szabad elvégezni. Ellenkező esetben az eseményüzenetek száma gyorsan eláraszthatja a rendszert. Sok rendszer összeomlott, mert a jó szándékú rendszergazdák bekapcsolták a legrészletesebb naplózást, hogy segítsenek valamit diagnosztizálni, majd elfelejtették kikapcsolni.
a Unix-stílusú rendszerekben általában alapértelmezés szerint engedélyezve van a syslog, és beállíthatja a részletességi szintet. Sok más alkalmazás-és biztonsági naplófájl alapértelmezés szerint le van tiltva, de mindegyiket külön-külön engedélyezheti egyetlen parancssorral.
minden hálózati eszköz és biztonsági alkalmazás és eszköz saját naplókat generál. Összességében a rendszergazdának több száz naplófájl közül lehet választani. Egy tipikus végfelhasználói rendszer több ezer-tízezer eseményt generálhat naponta. A szerver könnyen generál több százezer millió esemény egy nap.
tipp: Hacsak nem tud egy folyamatban lévő biztonsági eseményről, az alapértelmezett naplóbeállítások több mint elegendő információt nyújtanak a legtöbb biztonsági igényhez. Kezdje az alapértékekkel, és csak szükség szerint adjon hozzá naplófájlokat és részleteket. Ha bekapcsolja a részletes naplózást, emlékeztessen arra, hogy később kapcsolja ki az extra részleteket, hogy ne felejtse el.
központosított biztonsági eseménynaplózás
minden rendszergazda az egyes számítógépek leggyakoribb alapértelmezett naplófájljait szeretné egy központosított helyre gyűjteni. Az összes adat egy központi adatbázisba történő összesítésének értékét riasztásra és elemzésre egyszerűen nem lehet alábecsülni. A kérdés az, hogy hogyan összesíti ezeket az adatokat, és mennyi?
a legtöbb rendszer képes arra, hogy fő naplófájljait központosított helyre küldje. Szinte mindig sokkal több értéket és sokoldalúságot érhet el, ha egy harmadik féltől származó ügynököt használ, amely pontosan az Eseménynapló-információk gyűjtésére és küldésére készült. Sok rendszergazda ingyenes segédprogramokat használ, de a legtöbb kereskedelmi lehetőség jobb.
egy központosított naplómenedzsment rendszert szeretne az összes adat összegyűjtésére, tárolására és elemzésére. Több száz lehetőség és eladó közül lehet választani. Csak szoftveres és készülékes opciókkal rendelkezik, az utóbbi könnyebben jobb teljesítményt nyújt a legtöbb esetben. Válasszon egy lehetőséget, amely lehetővé teszi, hogy hatékonyan és biztonságosan gyűjtsön eseményadatokat a legtöbb forrásból. Nem akarja elküldeni az Eseménynapló adatait a vezetéken keresztül tiszta szövegben. Az Eseménynapló-kezelő szoftvernek össze kell gyűjtenie az adatokat, normalizálnia kell (konvertálnia kell egy közös formátumba), figyelmeztetnie kell a rendellenes eseményeket, és lehetővé kell tennie a lekérdezések futtatását.
mielőtt bármilyen megoldást választana, próbálja meg vásárlás előtt. Szeretne bármilyen lekérdezést beírni, és ésszerű időn belül választ kapni. Ha 10-15 másodpercet vár a válaszra, kevesebbet fog használni az Eseménynapló-elemzéshez, és elkezdi elveszíteni az értékét.
a legtöbb vállalat összegyűjti az összes adatot a fő alapértelmezett naplófájlokból, és ez könnyen elsöprő lehet mind a hálózati kihasználtság, mind a tárolási szempontból. Ezt szó szerint értem, nem átvitt értelemben. A legtöbb tapasztalt rendszergazdának van egy története arról, hogy az eseménynaplók összesítése hogyan rontotta a hálózat teljesítményét, amíg nem optimalizálták az eseménynaplózást.
bármit is csinál, ne csak információkat gyűjtsön a szerverekről. Manapság a legtöbb kompromisszum a végfelhasználói munkaállomásoktól indul. Ha nem gyűjti a naplófájlokat az ügyfélszámítógépekről, akkor az értékes adatok nagy része hiányzik.
tipp: Hozzon létre annyi részletet, amennyire szüksége van a helyi rendszeren, de szűrje és csak a legértékesebb és kritikus eseményeket küldje el a központosított naplózási rendszernek. Küldje el mindazt, ami szükséges a riasztások létrehozásához az összes legfontosabb biztonsági eseményről, de hagyja a többit a helyi rendszeren. Bármikor letölteni a hozzáadott részleteket, ha szükséges. Ezzel a módszerrel megkaphatja a riasztások megszerzéséhez és a törvényszéki vizsgálatok megkezdéséhez szükséges adatokat, de anélkül, hogy túlterhelné a hálózatot és a tárolóeszközöket. Mindig fennáll annak az esélye, hogy egy rosszfiú törölheti a helyi eseménynapló adatait, mielőtt letölthetné azokat, de a gyakorlatban szinte soha nem láttam ilyet.
hasznos naplóinformációk beszerzése
Az eseménynapló-kezelő rendszer legnehezebb része az, hogy elegendő információt szerezzen az összes szükséges biztonsági esemény észleléséhez, miközben nem terheli túl a rendszert túl sok zajjal. Még a leghatékonyabb irányítási rendszerekben is, az összegyűjtött eseménynapló-adatok nagy része zaj lesz. Csak így működik az Eseménynapló-kezelés.
Tipp: Ellenőrizze, hogy a dátum és az idő megfelelően van-e beállítva minden rendszerén. Amikor megpróbálja korrelálni az eseményeket, pontos idővel kell rendelkeznie.
ahol az Eseménynapló-kezelő rendszerek azt mutatják, hogy valós értékük abban rejlik, hogy mennyire szűrik a szükségtelen zajt és riasztást a hasznos cselekvésre alkalmas eseményeken. A kritikus eseményeknek mindig azonnali riasztást és reagáló vizsgálatot kell eredményezniük. Az eseményrekordot akkor kell cselekvőképesnek tekinteni, ha az eseményrekord rosszindulatú tevékenység, túlzott (tartós) rendszertevékenység, a rendszertevékenység váratlan (tartós) csökkenése, illetve kritikus fontosságú alkalmazásteljesítmény-problémák vagy meghibásodás nagy valószínűségét jelzi.
egy jó eseménynapló-kezelő rendszer előre meghatározott általános riasztásokkal rendelkezik (pl. túlzott fiókzárolások), és lehetővé teszi a rendszergazdák számára, hogy saját eseményeket hozzanak létre (eltérések a várható alapvonalaktól, amelyek meghaladnak egy bizonyos küszöböt). Lehet, hogy több, egymással összefüggő eseményre van szükség több rendszerből, hogy riasztást generáljon. Az esemény ritkaságától függően egyetlen esemény (például Bejelentkezés egy hamis “csapda” fiókba) elegendő a riasztás létrehozásához. A jó rendszer olyan eseményekkel jár, amelyekre a legtöbb rendszergazda figyelmeztetni akar, és elegendő szűrővel rendelkezik a szemét eltávolításához.
tipp: Kezdje azzal, hogy meghatározza a vállalat legutóbbi és valószínűleg jövőbeni sikeres támadásaihoz kapcsolódó összes eseményt, majd találja ki, hogy mely eseményüzeneteket és riasztásokat kell megadnia a támadások észleléséhez és leállításához. Sok-sok biztonsági esemény miatt kell aggódnia, de a legfontosabbak, hogy figyelemmel kísérjék és figyelmeztessék azokat, amelyeket a jövőben valószínűleg felhasználnak a vállalata ellen.
A jó eseménynaplózás a szükséges kritikus események és riasztások kivonását jelenti az egyébként elsöprő mennyiségű információból. A legtöbb adminisztrátor számára a probléma nem az, hogy elegendő információt szerezzen, hanem az, hogy az igazán hasznos információkat kihozza az események elsöprő szökőárából. Egy jó eseménynapló-kezelő rendszer segít ebben.