より多くの企業が悪意のあるインシデントを検出するためにセキュリティログを使用してい それらの多くはあまりにも多くのログデータを収集しています—多くの場合、数十億のイベント。 彼らは、ログストレージドライブアレイのサイズを自慢しています。 彼らはテラバイトまたはペタバイトで測定されていますか?
データの山は、彼らが望むほど多くの有用な情報を与えません。 時々より少しは多くである。 あなたは十分にそれらすべてに対応することはできませんので、多くのアラートを取得した場合は、何かを変更する必要があります。 一元化されたログ管理システムが役立ちます。 このログの紹介と専門家の推奨事項は、新しいシステム管理者がセキュリティログを最大限に活用するために何をすべきかを理解するのに役立ち
セキュリティイベントロギングの基礎
セキュリティロギングの最良のガイドの一つは、標準の制定された国家です&技術(NIST)特 これは2006年に書かれた少し古いものですが、セキュリティログ管理の基本をよくカバーしています。
セキュリティログジェネレータを三つのカテゴリに配置します: オペレーティングシステム、アプリケーション、またはセキュリティ固有のソフトウェア(ファイヤーウォールや侵入検知シ ほとんどのコンピュータには数十のログがあります。 Microsoft Windowsコンピュータには、システム、アプリケーション、およびセキュリティの三つの主なバイナリイベントログが付属しています。 残念ながら、名前は誤解を招く可能性があり、セキュリティイベントの証拠は、多くの場合、すべての3つのログに格納されています。
Windows Vista以降、これらの三つの主要なログファイルは、より集中消化のためにほぼ百の異なるビューに分割されています。 少なくともダースは、他のアプリケーションがインストールされていなくても、テキ Unixスタイルのシステムは、通常、すべての様々なアプリケーションやデーモンのための他のテキストベースのログファイルと一緒に一元化されたsyslogファ 多くの管理者は、物事を一元化するために、メインのsyslogファイルに個々のファイルをリダイレクトします。
スマートフォンやその他のコンピューティングデバイスには、通常、ログファイルもあります。 ほとんどはsyslogに似ていますが、簡単に表示またはアクセスすることはできません。 ほとんどの場合、デバイスを特別なデバッグロギングモードにするか、ログファイルを表示または構成するための追加のソフトウェアをダウンロー 1つの例外は、すべての接続時にiTunesによってホストPCに同期されるiPhoneのクラッシュログです。
モバイルデバイス上のセキュリティログファイルは、一度アクセスするのがはるかに難しく、あまり有用ではありません。 セキュリティイベントに関する基本的な情報は取得できますが、平均的なパーソナルコンピュータから取得できるよりもはるかに詳細ではありません。 多くの管理者は、モバイルデバイスからより詳細なセキュリティログデータを収集するために、サードパーティアプリケーションをインストールします。
Windowsでは、デフォルトでほとんどのログファイルが有効になりますが、必要なログのレベルを定義する必要がある場合があります。 可能な限り詳細をオンにするには、特定の必要性の間、またはアクティブな既知のセキュリティイベントを追跡しようとしている間にのみ行う必 そうしないと、イベントメッセージの数がすぐにシステムを圧倒する可能性があります。 善意のシステム管理者が何かを診断するのに役立つ最も詳細なログをオンにしてから、それをオフにするのを忘れたため、多くのシステムがクラッUnixスタイルのシステムでは、通常、syslogがデフォルトで有効になっており、詳細レベルを設定できます。 他の多くのアプリケーションとセキュリティのログファイルはデフォルトで無効になっていますが、単一のコマンドラインで個別に有効にするこ
各ネットワークデバイスとセキュリティアプリケーションとデバイスは、独自のログを生成します。 全体として、システム管理者は、から選択するログファイルの数百を持っています。 一般的なエンドユーザーシステムでは、1日に数千から数万のイベントを生成できます。 サーバーは、1日に数十万から数百万のイベントを簡単に生成できます。 p>
ヒント: 進行中のセキュリティイベントがわかっていない限り、既定のログ設定では、ほとんどのセキュリティニーズに十分な情報が提供されます。 デフォルトで開始し、必要に応じてログファイルと詳細のみを追加します。 詳細ログをオンにする場合は、後で追加の詳細をオフにするようにリマインダーを作成して、忘れないようにします。
集中型セキュリティイベントログ
すべての管理者は、各コンピュータの最も一般的な既定のログファイルを集中型の場 アラートと分析のためにすべてのデータを集中型データベースに集約することの価値は、単純に過小評価することはできません。 問題は、そのすべてのデータをどのように集計し、どのくらい集計するのですか?
ほとんどのシステムは、メインのログファイルを集中管理された場所に送信する機能を持っています。 イベントログ情報の収集と送信のために正確に構築されたサードパーティのエージェントを使用することで、ほとんどの場合、はるかに多くの価値と多 多くの管理者は無料のユーティリティを使用していますが、ほとんどの商用オプションの方が優れています。すべてのデータを収集、保存、および分析するための集中型ログ管理システムが必要になります。
すべてのデータを収集、保存、分析するための集中型ログ 何百もの中から選択するオプションとベンダーがあります。 ソフトウェアのみとアプライアンスのオプションがあり、後者はほとんどの場合より簡単にパフォーマンスを向上させます。 ほとんどのソースからイベントデータを効率的かつ安全に収集できるオプションを選択します。 イベントログデータをクリアテキストで送信する必要はありません。 イベントログ管理ソフトウェアは、データを集計し、正規化(共通形式に変換)し、異常イベントを警告し、クエリを実行できるようにする必要があります。
任意のソリューションを選ぶ前に、購入する前に試してみてください。 任意のクエリを入力して、妥当な時間内に回答を得ることができるようにしたいとします。 応答を10秒から15秒待つと、イベントログ分析の使用が少なくなり、その値が失われ始めます。
ほとんどの企業は、メインのデフォルトのログファイルからすべてのデータを収集し、ネットワーク使用率のスループットとストレージの両方の観点か 私はこれを文字通り、比喩的にではないことを意味します。 ほとんどの経験豊富な管理者は、イベントログを集計することで、イベントログを最適化するまでネットワークのパフォーマンスがどのように破られたかを説明しています。
何をするにしても、サーバーから情報を収集するだけではありません。 今日では、ほとんどの妥協はエンドユーザーのワークステーションから始まります。 クライアントコンピューターからログファイルを収集しないと、貴重なデータのほとんどが失われます。p>
ヒント: ローカルシステムで必要なだけ詳細を生成しますが、最も価値のある重要なイベントのみをフィルタリングして集中ログ管理システムに送信します。 すべての最も重要なセキュリティイベントのアラートを生成するために必要なものは何でも送信しますが、残りはローカルシステ 必要に応じて、追加された詳細をいつでも取得できます。 この方法を使用すると、アラートを取得して法医学調査を開始するために必要なデータを取得できますが、ネットワークやストレージデバイスを圧倒するこ 悪い人がローカルイベントログデータを取得する前に削除できる可能性は常にありますが、実際にはそれが起こるのはほとんど見たことがありません。
有用なログ情報の取得
イベントログ管理システムの最も難しい部分は、必要なすべてのセキュリティイベントを検出 最も効率的な管理システムであっても、収集されたイベントログデータのほとんどはノイズになります。 これは、イベントログの管理が機能するだけの方法です。
ヒント:日付と時刻がすべてのシステムで正しく設定されていることを確認してください。 イベントを相関させようとするときは、正確な時間を持っている必要があります。
イベントログ管理システムが実際の価値を示しているのは、不要なノイズをどれだけフィルタリングし、有用な実用的なイベン 重大なでき事は即時の警報および敏感な調査に常に導くべきである。 イベントレコードは、悪意のあるアクティビティ、過度の(持続的な)システムアクティビティ、予期しない(持続的な)システムアクティビティの低下、または
優れたイベントログ管理システムには、事前定義された一般的なアラート(過剰なアカウントロックアウトなど)が付属しており、管理者は独自のイベン アラートを生成するには、複数のシステムから複数の相関イベントが必要になる場合があります。 イベントの希少性に応じて、アラートを生成するには、単一のイベント(例えば、偽の”トラップ”アカウントへのログオン)で十分です。 良いシステムには、ほとんどの管理者が警告したいイベントと、迷惑メールを捨てるのに十分なフィルタが付属しています。
ヒント:まず、会社の最新かつ最も可能性の高い将来の成功した攻撃に関連するすべてのイベントを定義し、それらの攻撃を検出して停止するために定義する必要があるイベントメッセージとアラートを把握します。 あなたは心配する多くの、多くのセキュリティイベントを持っていますが、あなたの会社に対して将来使用される可能性が最も高いものを監視し、警告することが最も重要なものです。
優れたイベントログは、それ以外の場合は圧倒的な量の情報から必要な重要なイベントやアラートを引き出すことです。 ほとんどの管理者にとっての問題は、十分な情報を取得していませんが、イベントの圧倒的な津波から本当に有用な情報を取得することです。 良いイベントログ管理システムは、あなたがそれを行うのに役立ちます。