Più aziende utilizzano i loro registri di sicurezza per rilevare incidenti dannosi. Molti di loro stanno raccogliendo troppi dati di registro – spesso miliardi di eventi. Si vantano delle dimensioni dei loro array di unità di archiviazione del registro. Sono misurati in terabyte o petabyte?
Una montagna di dati non fornisce loro tutte le informazioni utili che vorrebbero. A volte meno è di più. Se ricevi così tanti avvisi che non puoi rispondere adeguatamente a tutti, allora qualcosa deve cambiare. Un sistema di gestione dei log centralizzato può aiutare. Questa rapida introduzione alla registrazione e le raccomandazioni degli esperti aiutano i nuovi amministratori di sistema a capire cosa dovrebbero fare per ottenere il massimo dai log di sicurezza.
Nozioni di base sulla registrazione degli eventi di sicurezza
Una delle migliori guide alla registrazione della sicurezza è il National Instituted of Standards& Technology (NIST) Special Publication 800-92, Guide to Computer Security Log Management. Anche se è un po ‘ datato, scritto nel 2006, copre ancora bene le basi della gestione dei log di sicurezza.
Posiziona i generatori di log di sicurezza in tre categorie: sistema operativo, applicazione o software specifico per la sicurezza (ad es. firewall o sistemi di rilevamento delle intrusioni ). La maggior parte dei computer hanno decine di registri. I computer Microsoft Windows sono dotati di tre registri eventi binari principali: sistema, applicazione e sicurezza. Sfortunatamente, i nomi possono essere fuorvianti e le prove degli eventi di sicurezza sono spesso memorizzate in tutti e tre i registri.
Da Windows Vista, questi tre file di registro principali sono suddivisi in quasi un centinaio di viste diverse per una digestione più mirata. Almeno una dozzina sono registri di testo o binari, anche senza alcuna altra applicazione installata. Un sistema in stile Unix di solito ha un file syslog centralizzato insieme ad altri file di log basati su testo per tutte le varie applicazioni e demoni. Molti amministratori reindirizzano i singoli file al file syslog principale per centralizzare le cose.
Gli smartphone e altri dispositivi informatici di solito hanno anche i file di registro. La maggior parte sono simili a syslog, ma non possono essere facilmente visualizzati o accessibili. La maggior parte richiede che il dispositivo sia messo in una speciale modalità di registrazione di debug o scaricare software aggiuntivo per visualizzare o configurare i file di registro. Un’eccezione sono i registri degli arresti anomali dell’iPhone, che vengono sincronizzati da iTunes al PC host ad ogni connessione.
I file di registro di sicurezza sui dispositivi mobili sono molto più difficili da accedere e molto meno utili una volta fatto. Potresti essere in grado di ottenere informazioni di base su un evento di sicurezza, ma con molto meno dettagli di quelli che puoi ottenere dal personal computer medio. Molti amministratori installano un’applicazione di terze parti per raccogliere dati di registro di sicurezza più approfonditi da un dispositivo mobile.
Windows abilita la maggior parte dei file di registro per impostazione predefinita, anche se potrebbe essere necessario definire il livello di registrazione desiderato. L’attivazione del maggior dettaglio possibile deve essere eseguita solo durante un’esigenza specifica o durante il tentativo di tenere traccia di un evento di sicurezza attivo e noto. In caso contrario, il numero di messaggi evento può sopraffare rapidamente un sistema. Molti sistemi sono stati bloccati perché gli amministratori di sistema ben intenzionati hanno attivato la registrazione più dettagliata per aiutare a diagnosticare qualcosa e poi hanno dimenticato di spegnerlo.
I sistemi in stile Unix di solito hanno syslog abilitato di default, ed è possibile configurare il livello di dettaglio. Molti altri file di registro delle applicazioni e della sicurezza sono disabilitati per impostazione predefinita, ma è possibile abilitare ciascuno individualmente con una singola riga di comando.
Ogni dispositivo di rete e applicazione di sicurezza e dispositivo genererà i propri registri. Complessivamente, un amministratore di sistema avrà centinaia di file di registro tra cui scegliere. Un tipico sistema di utenti finali può generare da migliaia a decine di migliaia di eventi al giorno. Un server può facilmente generare centinaia di migliaia a milioni di eventi al giorno.
Suggerimento: A meno che non si sia a conoscenza di un evento di sicurezza in corso, le impostazioni di registro predefinite forniranno informazioni più che sufficienti per la maggior parte delle esigenze di sicurezza. Inizia con i valori predefiniti e aggiungi file di registro e dettagli solo se necessario. Se si attiva la registrazione dettagliata, fare un promemoria per disattivare il dettaglio in più tardi in modo da non dimenticare.
Registrazione centralizzata degli eventi di sicurezza
Ogni amministratore desidera raccogliere i file di registro predefiniti più comuni di ciascun computer in una posizione centralizzata. Il valore nell’aggregare tutti i dati in un database centralizzato per l’avviso e l’analisi semplicemente non può essere sottovalutato. La domanda è: come si aggregano tutti quei dati e quanto?
La maggior parte dei sistemi ha la possibilità di inviare i propri file di registro principali a una posizione centralizzata. Avrai quasi sempre molto più valore e versatilità utilizzando un agente di terze parti creato esattamente per raccogliere e inviare informazioni sul registro eventi. Molti amministratori utilizzano utilità gratuite per farlo, ma la maggior parte delle opzioni commerciali sono migliori.
Si desidera un sistema di gestione dei log centralizzato per raccogliere, archiviare e analizzare tutti i dati. Ci sono centinaia di opzioni e fornitori tra cui scegliere. Hai solo software e le opzioni appliance, con quest’ultimo più facilmente fornendo prestazioni migliori nella maggior parte dei casi. Scegli un’opzione che ti consenta di raccogliere in modo efficiente e sicuro i dati degli eventi dalla maggior parte delle tue fonti. Non si desidera inviare i dati del registro eventi sul filo in chiaro. Il software di gestione del registro eventi deve aggregare i dati, normalizzarli (convertirli in un formato comune), avvisare su eventi anomali e consentire l’esecuzione di query.
Prima di scegliere qualsiasi soluzione, provare prima di acquistare. Vuoi essere in grado di digitare qualsiasi query e ottenere una risposta in un ragionevole lasso di tempo. Se si attende da 10 a 15 secondi per una risposta, si utilizzerà meno analisi del registro eventi e inizia a perdere il suo valore.
La maggior parte delle aziende raccoglie tutti i dati dai principali file di log predefiniti e può essere facilmente travolgente, sia dal throughput dell’utilizzo della rete che dai punti di vista dello storage. Intendo questo letteralmente, non in senso figurato. La maggior parte degli amministratori esperti hanno una storia di come aggregando i loro registri degli eventi schiacciato le prestazioni della loro rete fino a quando hanno ottimizzato la loro registrazione degli eventi.
Qualunque cosa tu faccia, non solo raccogliere informazioni dai server. Oggi, la maggior parte dei compromessi inizia dalle workstation degli utenti finali. Se non raccogli i file di registro dai computer client, ti mancheranno la maggior parte dei dati importanti.
Suggerimento: Genera tutti i dettagli di cui hai bisogno sul sistema locale, ma filtra e invia solo gli eventi più importanti e critici al tuo sistema di gestione dei log centralizzato. Invia tutto ciò che è necessario per generare avvisi per tutti i tuoi eventi di sicurezza più importanti, ma lascia il resto sul sistema locale. È sempre possibile recuperare i dettagli aggiunti quando necessario. Utilizzando questo metodo, è possibile ottenere i dati necessari per ottenere avvisi e avviare indagini forensi, ma senza sovraccaricare i dispositivi di rete e di archiviazione. C’è sempre la possibilità che un cattivo ragazzo possa eliminare i dati del registro eventi locali prima di poterlo recuperare, ma in pratica non l’ho quasi mai visto accadere.
Ottenere informazioni di log utili
La parte più difficile di qualsiasi sistema di gestione dei log di eventi è ottenere informazioni sufficienti per essere in grado di rilevare tutti gli eventi di sicurezza necessari, senza sovraccaricare il sistema con troppo rumore. Anche nei sistemi di gestione più efficienti, la maggior parte dei dati di registro eventi raccolti sarà rumore. È solo il modo in cui funziona la gestione del registro eventi.
Suggerimento: assicurati che la data e l’ora siano impostate correttamente su tutti i tuoi sistemi. Quando si tenta di correlare gli eventi, è necessario disporre di un tempo preciso.
Dove i sistemi di gestione del registro eventi mostrano il loro valore reale è nel modo in cui filtrano il rumore non necessario e avvisano su eventi utili e utilizzabili. Gli eventi critici dovrebbero sempre portare a un allarme immediato e a un’indagine reattiva. Un record di eventi deve essere definito utilizzabile quando il record di eventi indica una forte probabilità di attività dannose, un’attività eccessiva (sostenuta) del sistema, un calo imprevisto (sostenuto) dell’attività del sistema o problemi o errori di prestazioni dell’applicazione mission critical.
Un buon sistema di gestione del registro eventi è dotato di avvisi comuni predefiniti (ad esempio, blocchi eccessivi dell’account) e consente agli amministratori di creare i propri eventi (deviazioni dalle linee di base previste che superano una certa soglia). Potrebbero essere necessari più eventi correlati da più sistemi per generare un avviso. A seconda della rarità dell’evento, un singolo evento (ad esempio, l’accesso a un falso account “trappola”) è sufficiente per generare un avviso. Un buon sistema viene fornito con gli eventi che la maggior parte degli amministratori desidera avvisare e con filtri sufficienti per eliminare la spazzatura.
Suggerimento: inizia definendo tutti gli eventi relativi agli attacchi più recenti e più probabili futuri della tua azienda, quindi scopri quali messaggi e avvisi di eventi devi definire per rilevare e fermare quegli attacchi. Hai molti, molti eventi di sicurezza di cui preoccuparti, ma quelli più importanti da monitorare e avvisare su quelli che più probabilmente verranno utilizzati in futuro contro la tua azienda.
Una buona registrazione degli eventi consiste nel estrarre gli eventi critici e gli avvisi necessari da una quantità di informazioni altrimenti schiacciante. Il problema per la maggior parte degli amministratori non è ottenere informazioni sufficienti, ma ottenere le informazioni veramente utili da uno tsunami travolgente di eventi. Un buon sistema di gestione del registro eventi ti aiuta a farlo.