Więcej firm wykorzystuje swoje dzienniki zabezpieczeń do wykrywania złośliwych incydentów. Wiele z nich gromadzi zbyt wiele danych dziennika-często miliardy zdarzeń. Chwalą się rozmiarem swoich macierzy dyskowych log storage. Są mierzone w terabajtach czy petabajtach?
Góra danych nie daje im tyle przydatnych informacji, ile by chcieli. Czasem mniej znaczy więcej. Jeśli otrzymasz tak wiele alertów, że nie możesz odpowiednio odpowiedzieć na nie wszystkie, coś musi się zmienić. Scentralizowany system zarządzania logami może pomóc. To szybkie wprowadzenie do logowania i zalecenia ekspertów pomagają nowym administratorom systemu zrozumieć, co powinni robić, aby jak najlepiej wykorzystać dzienniki zabezpieczeń.
podstawy logowania zdarzeń bezpieczeństwa
jednym z najlepszych przewodników po logowaniu bezpieczeństwa jest krajowa norma& Technologia (NIST) specjalna Publikacja 800-92, Przewodnik do zarządzania dziennikami bezpieczeństwa komputera. Chociaż jest nieco przestarzały, napisany w 2006 roku, nadal dobrze obejmuje podstawy zarządzania dziennikami bezpieczeństwa.
umieszcza Generatory dzienników bezpieczeństwa w trzech kategoriach: systemy operacyjne, aplikacje lub oprogramowanie specyficzne dla zabezpieczeń (np. zapory sieciowe lub systemy wykrywania włamań ). Większość komputerów ma dziesiątki dzienników. Komputery z systemem Microsoft Windows są wyposażone w trzy główne dzienniki zdarzeń binarnych: system, aplikacja i bezpieczeństwo. Niestety nazwy mogą wprowadzać w błąd, a dowody zdarzeń bezpieczeństwa są często przechowywane we wszystkich trzech dziennikach.
od Windows Vista, te trzy główne pliki dziennika są podzielone na prawie sto różnych widoków dla bardziej skoncentrowanego trawienia. Co najmniej tuzin to dzienniki tekstowe lub binarne, nawet bez zainstalowanej innej aplikacji. System uniksowy ma zwykle scentralizowany plik syslog wraz z innymi plikami dziennika tekstowego dla wszystkich różnych aplikacji i demonów. Wielu administratorów przekierowuje poszczególne pliki do głównego pliku syslog, aby scentralizować rzeczy.
smartfony i inne urządzenia komputerowe zwykle mają również pliki dziennika. Większość z nich jest podobna do syslog, ale nie można ich łatwo przeglądać ani uzyskiwać do nich dostępu. Większość wymaga, aby urządzenie zostało umieszczone w specjalnym trybie debugowania lub pobrać dodatkowe oprogramowanie, aby wyświetlić lub skonfigurować pliki dziennika. Jednym z wyjątków są dzienniki awarii iPhone ’ a, które są synchronizowane przez iTunes z komputerem hosta przy każdym połączeniu.
pliki dziennika zabezpieczeń na urządzeniach mobilnych są o wiele trudniejsze do uzyskania dostępu i o wiele mniej przydatne. Możesz być w stanie uzyskać podstawowe informacje na temat zdarzenia bezpieczeństwa, ale o wiele mniej szczegółów niż można uzyskać z przeciętnego komputera osobistego. Wielu administratorów instaluje aplikację innej firmy, aby zbierać dokładniejsze dane dziennika zabezpieczeń z urządzenia mobilnego.
Windows domyślnie włącza większość plików dziennika, chociaż może być konieczne określenie poziomu rejestrowania. Włączenie jak największej liczby szczegółów powinno odbywać się tylko w trakcie określonej potrzeby lub podczas próby śledzenia aktywnego, znanego zdarzenia bezpieczeństwa. W przeciwnym razie liczba komunikatów zdarzeń może szybko przytłoczyć system. Wiele systemów zostało zawieszonych, ponieważ dobrze pomyślani administratorzy systemu włączyli najbardziej szczegółowe logowanie, aby pomóc w diagnozowaniu czegoś, a następnie zapomnieli go wyłączyć.
systemy w stylu Unix zazwyczaj mają domyślnie włączony syslog i można skonfigurować poziom szczegółowości. Wiele innych plików dziennika aplikacji i zabezpieczeń jest domyślnie wyłączonych, ale każdy z nich można włączyć indywidualnie za pomocą jednego wiersza poleceń.
każde urządzenie sieciowe oraz aplikacja zabezpieczająca i urządzenie wygeneruje własne logi. W sumie administrator systemu będzie miał do wyboru setki plików dziennika. Typowy system użytkownika końcowego może generować tysiące do dziesiątek tysięcy zdarzeń dziennie. Serwer może łatwo generować setki tysięcy do milionów zdarzeń dziennie.
Tip: Jeśli nie wiesz o trwającym zdarzeniu zabezpieczeń, domyślne ustawienia dziennika dostarczą więcej niż wystarczającą ilość informacji dla większości potrzeb związanych z bezpieczeństwem. Zacznij od domyślnych i dodaj pliki dziennika i szczegóły tylko w razie potrzeby. Jeśli włączysz rejestrowanie szczegółowe, przypomnij sobie, aby później wyłączyć dodatkowe szczegóły, aby nie zapomnieć.
scentralizowane rejestrowanie zdarzeń bezpieczeństwa
każdy administrator chce zebrać najczęstsze domyślne pliki dziennika każdego komputera do scentralizowanej lokalizacji. Wartość agregowania wszystkich danych do scentralizowanej bazy danych w celu alarmowania i analizy po prostu nie może być zaniżona. Pytanie brzmi: jak zebrać wszystkie te dane i ile?
większość systemów ma możliwość wysyłania swoich głównych plików dziennika do scentralizowanej lokalizacji. Prawie zawsze uzyskasz znacznie większą wartość i wszechstronność, korzystając z agenta innej firmy zbudowanego dokładnie do zbierania i wysyłania informacji o dziennikach zdarzeń. Wielu administratorów używa do tego darmowych narzędzi, ale większość opcji komercyjnych jest lepsza.
potrzebujesz scentralizowanego systemu zarządzania logami do zbierania, przechowywania i analizowania wszystkich danych. Istnieją setki opcji i dostawców do wyboru. Masz opcje tylko dla oprogramowania i urządzenia, przy czym te ostatnie łatwiej zapewniają lepszą wydajność w większości przypadków. Wybierz opcję, która pozwala wydajnie i bezpiecznie zbierać dane o zdarzeniach z większości źródeł. Nie chcesz wysyłać danych dziennika zdarzeń przez przewód w postaci czystego tekstu. Oprogramowanie do zarządzania dziennikami zdarzeń musi agregować dane, normalizować je (konwertować do wspólnego formatu), alarmować o anomalnych zdarzeniach i umożliwiać uruchamianie zapytań.
zanim wybierzesz jakiekolwiek rozwiązanie, spróbuj przed zakupem. Chcesz mieć możliwość wpisania dowolnego zapytania i uzyskania odpowiedzi w rozsądnym czasie. Jeśli odczekasz od 10 do 15 sekund na odpowiedź, Mniej wykorzystasz analizę dziennika zdarzeń i zacznie ona tracić swoją wartość.
większość firm gromadzi wszystkie dane z głównych domyślnych plików dziennika i może być łatwo przytłaczająca, zarówno z punktu widzenia przepustowości sieci, jak i punktu widzenia pamięci masowej. Mam na myśli to dosłownie, nie w przenośni. Większość doświadczonych administratorów ma historię o tym, jak agregowanie dzienników zdarzeń zmiażdżyło wydajność ich sieci, dopóki nie zoptymalizowali rejestrowania zdarzeń.
cokolwiek robisz, nie zbieraj tylko informacji z serwerów. Obecnie większość kompromisów zaczyna się od stacji roboczych użytkowników końcowych. Jeśli nie zbierzesz plików dziennika z komputerów klienckich, stracisz większość cennych danych.
Tip: Generuj tyle szczegółów, ile potrzebujesz w systemie lokalnym, ale filtruj i wysyłaj tylko najbardziej wartościowe i krytyczne zdarzenia do scentralizowanego systemu zarządzania dziennikami. Wysyłaj wszystko, co jest potrzebne do generowania alertów dla wszystkich najważniejszych zdarzeń bezpieczeństwa, ale pozostaw resztę w systemie lokalnym. W razie potrzeby możesz zawsze pobrać dodatkowe szczegóły. Korzystając z tej metody, możesz uzyskać dane potrzebne do otrzymywania alertów i rozpoczynania dochodzeń sądowych, ale bez przytłaczania sieci i urządzeń pamięci masowej. Zawsze istnieje szansa, że zły facet może usunąć lokalne dane dziennika zdarzeń, zanim będzie można je odzyskać, ale w praktyce prawie nigdy nie widziałem, że tak się stało.
uzyskiwanie przydatnych informacji dziennika
najtrudniejszą częścią każdego systemu zarządzania dziennikami zdarzeń jest uzyskanie wystarczającej ilości informacji, aby móc wykryć wszystkie potrzebne zdarzenia bezpieczeństwa, nie przytłaczając systemu zbyt dużym hałasem. Nawet w najbardziej wydajnych systemach zarządzania, większość zebranych danych dziennika zdarzeń będzie hałasem. Tak działa zarządzanie dziennikami zdarzeń.
wskazówka: upewnij się, że Data i godzina są ustawione poprawnie we wszystkich systemach. Próbując skorelować zdarzenia, musisz mieć dokładny czas.
gdzie systemy zarządzania dziennikami zdarzeń pokazują swoją prawdziwą wartość w tym, jak dobrze filtrują niepotrzebny hałas i alarmują o użytecznych zdarzeniach. Zdarzenia krytyczne powinny zawsze prowadzić do natychmiastowego ostrzeżenia i szybkiego dochodzenia. Rekord zdarzenia powinien być zdefiniowany jako wykonalny, gdy rekord zdarzenia wskazuje na duże prawdopodobieństwo złośliwej aktywności, nadmiernej (trwałej) aktywności systemu, nieoczekiwanego (trwałego) spadku aktywności systemu lub krytycznych problemów z wydajnością aplikacji lub awarii.
dobry system zarządzania dziennikami zdarzeń zawiera predefiniowane powszechne alerty (np. nadmierne blokady kont) i umożliwia administratorom tworzenie własnych zdarzeń (odchylenia od oczekiwanych linii bazowych, które przekraczają określony próg). Generowanie alertu może wymagać wielu skorelowanych zdarzeń z wielu systemów. W zależności od rzadkości zdarzenia, wystarczy jedno zdarzenie (np. zalogowanie się na fałszywe konto „pułapki”), aby wygenerować alert. Dobry system zawiera zdarzenia, o których większość administratorów chce powiadomić, i ma wystarczającą ilość filtrów, aby usunąć śmieci.
Wskazówka: zacznij od zdefiniowania wszystkich zdarzeń związanych z ostatnimi i najprawdopodobniej przyszłymi udanymi atakami Twojej firmy, a następnie określ, które komunikaty i alerty zdarzeń należy zdefiniować, aby wykryć i powstrzymać te ataki. Masz wiele, wiele zdarzeń związanych z bezpieczeństwem, ale te najważniejsze, aby monitorować i ostrzegać o tych, które najprawdopodobniej zostaną wykorzystane w przyszłości przeciwko twojej firmie.
dobre rejestrowanie zdarzeń polega na wyciąganiu niezbędnych krytycznych zdarzeń i alertów z przytłaczającej ilości informacji. Problemem dla większości administratorów nie jest uzyskanie wystarczającej ilości informacji, ale uzyskanie naprawdę użytecznych informacji z przytłaczającego tsunami wydarzeń. Dobry system zarządzania dziennikami zdarzeń pomaga w tym.