meer bedrijven gebruiken hun beveiligingslogboeken om kwaadaardige incidenten te detecteren. Velen van hen verzamelen te veel loggegevens—vaak miljarden gebeurtenissen. Ze scheppen op over de grootte van hun Log storage drive arrays. Worden ze gemeten in terabytes of petabytes?
Een berg data geeft ze niet zoveel nuttige informatie als ze zouden willen. Soms is minder meer. Als je zo veel meldingen krijgt dat je niet adequaat op ze allemaal kunt reageren, dan moet er iets veranderen. Een gecentraliseerd log management systeem kan helpen. Deze snelle introductie tot logboekregistratie en aanbevelingen van experts helpen nieuwe systeembeheerders te begrijpen wat ze moeten doen om het meeste uit beveiligingslogboeken te halen.
basics voor het loggen van beveiligingsgebeurtenissen
een van de beste gidsen voor het loggen van beveiligingsgebeurtenissen is de National Instituted of Standards & Technology (NIST) Special Publication 800-92, Guide to Computer Security Log Management. Hoewel het een beetje gedateerd, geschreven in 2006, het dekt nog steeds de basisprincipes van security log management goed.
Het plaatst beveiligingsloggeneratoren in drie categorieën: besturingssysteem, toepassing of beveiligingsspecifieke software (bijvoorbeeld firewalls of inbraakdetectiesystemen ). De meeste computers hebben tientallen logboeken. Microsoft Windows-computers worden geleverd met drie hoofd -, binaire gebeurtenislogboeken: systeem, toepassing en beveiliging. Helaas, de namen kunnen misleidend zijn, en bewijs van beveiligingsgebeurtenissen worden vaak opgeslagen in alle drie de logs.
sinds Windows Vista zijn deze drie hoofdlogbestanden opgesplitst in bijna honderd verschillende weergaven voor een meer gerichte spijsvertering. Ten minste een dozijn zijn tekst of binaire logs, zelfs zonder enige andere toepassing geà nstalleerd. Een Unix – stijl systeem heeft meestal een gecentraliseerd syslog-bestand samen met andere op tekst gebaseerde logbestanden voor alle verschillende toepassingen en daemons. Veel beheerders leiden de individuele bestanden om naar het belangrijkste syslog-bestand om dingen te centraliseren.
Smartphones en andere computerapparaten hebben meestal ook logbestanden. De meeste zijn vergelijkbaar met syslog, maar ze kunnen niet gemakkelijk worden bekeken of benaderd. De meeste vereisen dat het apparaat in een speciale debug logging modus worden gezet of download extra software om de logbestanden te bekijken of te configureren. Een uitzondering is iPhone crash logs, die worden gesynchroniseerd door iTunes naar de host-PC bij elke verbinding.
Beveiligingslogbestanden op mobiele apparaten zijn een stuk moeilijker toegankelijk en een stuk minder nuttig als je dat eenmaal doet. Je zou in staat zijn om basisinformatie over een beveiligingsgebeurtenis te krijgen, maar met veel minder detail dan je kunt krijgen van de gemiddelde personal computer. Veel beheerders installeren een applicatie van derden om grondiger beveiligingsloggegevens van een mobiel apparaat te verzamelen.
Windows schakelt standaard de meeste logbestanden in, hoewel u mogelijk moet bepalen welk niveau van logboekregistratie u wilt. Het inschakelen van de meest detail mogelijk moet alleen worden gedaan tijdens een specifieke behoefte of terwijl het proberen om een actieve, bekende beveiligingsgebeurtenis te volgen. Anders kan het aantal gebeurtenisberichten een systeem snel overweldigen. Veel systemen zijn gecrasht omdat goedbedoelende systeembeheerders de meest gedetailleerde logboekregistratie hebben ingeschakeld om te helpen bij het diagnosticeren van iets en vervolgens zijn vergeten om het uit te schakelen.
Unix-stijl systemen hebben meestal standaard syslog ingeschakeld, en u kunt het detailniveau configureren. Veel andere logbestanden voor toepassingen en beveiliging zijn standaard uitgeschakeld, maar u kunt ze afzonderlijk inschakelen met één opdrachtregel.
elk netwerkapparaat en elke beveiligingstoepassing en elk apparaat zal zijn eigen logs genereren. In totaal heeft een systeembeheerder honderden logbestanden om uit te kiezen. Een typisch eindgebruiker systeem kan duizenden tot tienduizenden gebeurtenissen per dag genereren. Een server kan gemakkelijk honderdduizenden tot miljoenen gebeurtenissen per dag genereren.
Tip: Tenzij u op de hoogte bent van een lopende beveiligingsgebeurtenis, bieden de standaardlogboekinstellingen meer dan genoeg informatie voor de meeste beveiligingsbehoeften. Begin met de standaardinstellingen en voeg logbestanden en details alleen toe als dat nodig is. Als u gedetailleerde logboekregistratie inschakelt, maakt u een herinnering om het extra detail later uit te schakelen, zodat u het niet vergeet.
gecentraliseerde logboekregistratie van beveiligingsgebeurtenissen
elke beheerder wil de meest voorkomende standaard logbestanden van elke computer op een gecentraliseerde locatie verzamelen. De waarde in het aggregeren van alle gegevens naar een gecentraliseerde database voor waarschuwing en analyse kan gewoon niet worden onderschat. De vraag is: hoe verzamel je al die gegevens en hoeveel?
De meeste systemen hebben de mogelijkheid om hun belangrijkste logbestanden naar een centrale locatie te sturen. Je krijgt bijna altijd veel meer waarde en veelzijdigheid door een agent van derden te gebruiken die precies is gebouwd voor het verzamelen en verzenden van gebeurtenislogboekinformatie. Veel beheerders gebruiken gratis hulpprogramma ‘ s om het te doen, maar de meeste van de commerciële opties zijn beter.
u wilt een gecentraliseerd logboekbeheersysteem om alle gegevens te verzamelen, op te slaan en te analyseren. Er zijn honderden opties en leveranciers om uit te kiezen. Je hebt software-only en appliance opties, met de laatste gemakkelijker het verstrekken van betere prestaties in de meeste gevallen. Kies een optie waarmee u efficiënt en veilig gebeurtenisgegevens uit de meeste van uw bronnen kunt verzamelen. U wilt geen gebeurtenislogboekgegevens over de draad verzenden in duidelijke tekst. De event log management software moet de gegevens samenvoegen, normaliseren (converteren naar een gemeenschappelijk formaat), waarschuwen voor abnormale gebeurtenissen, en u toestaan om query ‘ s uit te voeren.
voordat u een oplossing kiest, probeer het voordat u koopt. U wilt in staat zijn om te typen in een query en krijg een antwoord in een redelijke hoeveelheid tijd. Als u 10 tot 15 seconden wacht op een antwoord, gebruikt u event log analyse minder en het begint zijn waarde te verliezen.
De meeste bedrijven verzamelen alle gegevens van de belangrijkste standaard logbestanden, en het kan gemakkelijk overweldigend zijn, van zowel netwerkgebruik doorvoer en opslag viewpoints. Ik bedoel dit letterlijk, niet figuurlijk. De meeste doorgewinterde beheerders hebben een verhaal over hoe het aggregeren van hun gebeurtenislogboeken de prestaties van hun netwerk verpletterde totdat ze hun gebeurtenislogging geoptimaliseerd hadden.
wat u ook doet, verzamel niet alleen informatie van servers. Tegenwoordig beginnen de meeste compromissen bij werkstations voor eindgebruikers. Als u de logboekbestanden niet van clientcomputers verzamelt, mist u de meeste waardevolle gegevens.
Tip: Genereer zoveel details als u nodig hebt op het lokale systeem, maar filter en stuur alleen de meest waardevolle en kritieke gebeurtenissen naar uw gecentraliseerde log management systeem. Stuur alles wat nodig is om waarschuwingen te genereren voor al uw belangrijkste beveiligingsgebeurtenissen, maar laat de rest op het lokale systeem. U kunt altijd de toegevoegde details ophalen wanneer dat nodig is. Met behulp van deze methode, kunt u de gegevens die u nodig hebt om waarschuwingen te krijgen en beginnen forensisch onderzoek, maar zonder overweldigend uw netwerk en opslagapparaten. Er is altijd de kans dat een slechterik de lokale gebeurtenislogboekgegevens kan verwijderen voordat je het kunt ophalen, maar in de praktijk heb ik dat bijna nooit zien gebeuren.
nuttige loginformatie ophalen
het moeilijkste deel van een gebeurtenislogboekbeheersysteem is het verkrijgen van voldoende informatie om alle benodigde beveiligingsgebeurtenissen te kunnen detecteren, zonder uw systeem te overweldigen met te veel ruis. Zelfs in de meest efficiënte beheersystemen zal de meeste verzamelde gebeurtenislogboekgegevens ruis zijn. Het is gewoon de manier waarop event log management werkt.
Tip: zorg ervoor dat de datum en tijd correct zijn ingesteld op al uw systemen. Wanneer u probeert gebeurtenissen te correleren, moet u nauwkeurige tijd hebben.
waar gebeurtenislogboekbeheersystemen hun werkelijke waarde laten zien is in hoe goed ze de onnodige ruis filteren en waarschuwen voor nuttige actiegebeurtenissen. Kritieke gebeurtenissen moeten altijd leiden tot een onmiddellijke waarschuwing en een responsief onderzoek. Een gebeurtenisrecord moet worden gedefinieerd als uitvoerbaar wanneer de gebeurtenisrecord wijst op een grote kans op kwaadwillige activiteit, overmatige (aanhoudende) systeemactiviteit, onverwachte (aanhoudende) daling van systeemactiviteit, of bedrijfskritische problemen met de prestaties van applicaties of storingen.
een goed gebeurtenislogboekbeheersysteem wordt geleverd met vooraf gedefinieerde algemene waarschuwingen (bijvoorbeeld overmatige account lockouts) en stelt beheerders in staat om hun eigen gebeurtenissen te creëren (afwijkingen van verwachte basislijnen die een bepaalde drempel overschrijden). Er kunnen meerdere gecorreleerde gebeurtenissen van meerdere systemen nodig zijn om een waarschuwing te genereren. Afhankelijk van de zeldzaamheid van het evenement, is één enkele gebeurtenis (bijvoorbeeld aanmelden bij een nep “trap” account) voldoende om een waarschuwing te genereren. Een goed systeem wordt geleverd met de gebeurtenissen die de meeste beheerders willen waarschuwen en met genoeg filters om de rommel weg te slough.
Tip: begin met het definiëren van alle gebeurtenissen met betrekking tot de meest recente en meest waarschijnlijke toekomstige succesvolle aanvallen van uw bedrijf, en zoek vervolgens uit welke gebeurtenisberichten en waarschuwingen u moet definiëren om deze aanvallen te detecteren en te stoppen. U hebt vele, vele veiligheidsgebeurtenissen om zich zorgen over te maken, maar de belangrijkste om te controleren en te waarschuwen op degenen die het meest waarschijnlijk worden gebruikt in de toekomst tegen uw bedrijf.
goede logging van gebeurtenissen gaat over het verwijderen van de noodzakelijke kritieke gebeurtenissen en waarschuwingen uit een verder overweldigende hoeveelheid informatie. Het probleem voor de meeste admins is niet genoeg informatie te krijgen, maar in het krijgen van de echt nuttige informatie uit een overweldigende tsunami van gebeurtenissen. Een goed event log management systeem helpt u om dat te doen.