Mais empresas estão usando seus logs de segurança para detectar incidentes maliciosos. Muitos deles estão coletando dados de log demais-muitas vezes bilhões de eventos. Gabam-se do tamanho dos registos de armazenamento. São medidos em terabytes ou petabytes?
uma montanha de dados não lhes dá tanta informação útil como gostariam. Às vezes menos é mais. Se você recebe tantos alertas que você não pode responder adequadamente a todos eles, então algo precisa mudar. Um sistema de gerenciamento de log centralizado pode ajudar. Esta rápida introdução ao login e recomendações de especialistas ajudam os novos administradores de sistema a entender o que eles devem estar fazendo para tirar o máximo proveito dos logs de segurança.
security event logging basics
One of the best guides to security logging is the National Institued of Standards& Technology (NIST) Special Publication 800-92, Guide to Computer Security Log Management. Embora esteja um pouco datado, escrito em 2006, ainda cobre bem os conceitos básicos de gerenciamento de log de segurança.coloca os geradores de registos de segurança em três categorias.: sistemas operativos, aplicações ou software específico de segurança (por exemplo, firewalls ou sistemas de detecção de intrusão ). A maioria dos computadores tem dúzias de registos. Os computadores Microsoft Windows vêm com três logs de eventos principais, binários: Sistema, aplicação e segurança. Infelizmente, os nomes podem ser enganadores, e evidências de eventos de segurança são muitas vezes armazenados em todos os três registros.
desde o Windows Vista, esses três arquivos de log principais são divididos em quase uma centena de visualizações diferentes para uma digestão mais focada. Pelo menos uma dúzia são registros de texto ou binários, mesmo sem qualquer outra aplicação instalada. Um sistema de estilo Unix geralmente tem um arquivo syslog centralizado, juntamente com outros arquivos de log baseados em texto para todas as várias aplicações e servidores. Muitos administradores redirecionam os arquivos individuais para o arquivo syslog principal para centralizar as coisas.
Smartphones e outros dispositivos de computação geralmente têm Arquivos de log, também. A maioria é semelhante ao syslog, mas eles não podem ser facilmente vistos ou acessados. A maioria requer que o dispositivo seja colocado em um modo especial de registro de depuração ou download de software adicional para ver ou configurar os arquivos de registro. Uma exceção é os logs de crash do iPhone, que são sincronizados pelo iTunes para o computador hospedeiro em cada conexão.os arquivos de registro de segurança em dispositivos móveis são muito mais difíceis de acessar e muito menos úteis quando você o faz. Você pode ser capaz de obter informações básicas sobre um evento de segurança, mas com muito menos detalhes do que você pode obter a partir do computador pessoal médio. Muitos admins instalam um aplicativo de terceiros para coletar dados de log de segurança mais completos de um dispositivo móvel.
O Windows activa a maioria dos ficheiros de registo por omissão, embora possa precisar de definir o nível de registo que deseja. Ligar o mais detalhadamente possível só deve ser feito durante uma necessidade específica ou ao tentar rastrear um evento de segurança ativo e conhecido. Caso contrário, o número de mensagens de Eventos pode sobrecarregar rapidamente um sistema. Muitos sistemas foram bloqueados porque administradores de sistemas bem intencionados ativaram o registro mais detalhado para ajudar com o diagnóstico de algo e, em seguida, esqueceu-se de desligá-lo.
sistemas do tipo Unix normalmente têm o syslog activo por omissão, e você pode configurar o nível de detalhe. Muitos outros arquivos de registro de aplicativos e segurança estão desativados por padrão, mas você pode ativar cada um individualmente com uma única linha de comando.
cada dispositivo de rede e aplicação e dispositivo de segurança irá gerar os seus próprios registos. Ao todo, um administrador de sistema terá centenas de arquivos de log para escolher. Um sistema típico de usuário final pode gerar milhares a dezenas de milhares de eventos por dia. Um servidor pode facilmente gerar centenas de milhares a milhões de eventos por dia.
Tip: A menos que você saiba de um evento de segurança em andamento, as configurações padrão de log fornecerão informações mais do que suficientes para a maioria das necessidades de segurança. Comece com os valores por omissão e adicione os ficheiros de registo e os detalhes apenas quando necessário. Se você ligar o registro detalhado, faça um lembrete para desligar o detalhe extra mais tarde para que você não se esqueça.
registo centralizado de eventos de segurança
cada administrador quer recolher os ficheiros de Registo predefinidos mais comuns de cada computador para uma localização centralizada. O valor na agregação de todos os dados a um banco de dados centralizado para alertar e analisar simplesmente não pode ser subestimado. A questão é: como você agregar todos esses dados e quanto?
a maioria dos sistemas tem a capacidade de enviar seus arquivos log principais para um local centralizado. Você quase sempre terá muito mais valor e versatilidade usando um agente de terceiros construído exatamente para coletar e enviar informações de log de eventos. Muitos administradores usam utilitários livres para fazê-lo, mas a maioria das opções comerciais são melhores.
Você vai querer um sistema de gerenciamento de log centralizado para coletar, armazenar e analisar todos os dados. Há centenas de opções e fornecedores para escolher entre. Você tem apenas software e opções de aparelhos, com o último mais facilmente proporcionando melhor desempenho na maioria dos casos. Escolha uma opção que lhe permita coletar de forma eficiente e segura os dados do evento a partir da maioria de suas fontes. Você não quer enviar os dados de log do evento sobre o fio em texto claro. O software de gerenciamento de log de eventos deve agregar os dados, normalizá-lo (convertê-lo em um formato comum), alertar sobre eventos anômalos, e permitir que você execute consultas.antes de escolher qualquer Solução, Tente antes de comprar. Você quer ser capaz de digitar qualquer consulta e obter uma resposta em uma quantidade razoável de tempo. Se você esperar 10 a 15 segundos para uma resposta, você vai usar menos análise de log do evento e ele começa a perder o seu valor.
A maioria das empresas coletam todos os dados dos principais arquivos de log padrão, e pode ser facilmente esmagador, tanto a partir da utilização da rede e pontos de vista de armazenamento. Quero dizer isto literalmente, não figurativamente. A maioria dos administradores experientes tem uma história de como agregar seus logs de eventos esmagou o desempenho de sua rede até que eles otimizaram seu registro de eventos.o que quer que faça, não recolha apenas informações dos servidores. Hoje, a maioria dos compromissos começa a partir de estações de trabalho do usuário final. Se você não coletar os arquivos de log de computadores clientes, você estará faltando a maioria dos dados valiosos.
Tip: Gerar o máximo de detalhes que você precisa no sistema local, mas filtrar e enviar apenas os eventos mais valiosos e críticos para o seu sistema de gerenciamento de log centralizado. Envie o que for necessário para gerar alertas para todos os seus eventos de segurança mais importantes, mas deixe o resto no sistema local. Você pode sempre recuperar o detalhe adicionado quando necessário. Usando este método, você pode obter os dados que você precisa para obter alertas e iniciar investigações forenses, mas sem sobrecarregar sua rede e dispositivos de armazenamento. Há sempre a chance de que um cara ruim pode apagar os dados de log do evento local antes que você possa recuperá-lo, mas na prática eu quase nunca vi isso acontecer.
obtendo informações de log úteis
a parte mais difícil de qualquer sistema de gerenciamento de log de Eventos é obter informações suficientes para ser capaz de detectar todos os eventos de segurança necessários, enquanto não sobrecarregar o seu sistema com muito ruído. Mesmo nos sistemas de gestão mais eficientes, a maioria dos dados coletados de log de eventos será ruído. É apenas a forma como a gestão de registos de eventos funciona.
Tip: certifique-se de que a data e a hora são definidas corretamente em todos os seus sistemas. Ao tentar correlacionar os Eventos, você deve ter tempo preciso.
Where event log management systems show their real value is in how well they filter the unneeedded noise and alert on useful Action events. Os eventos críticos devem sempre levar a um alerta imediato e a uma investigação sensível. Um registro de eventos deve ser definido como acionável quando o registro de eventos indica forte probabilidade de atividade maliciosa, excessiva (sustentada) atividade do sistema, queda inesperada (sustentada) na atividade do sistema, ou problemas de desempenho da aplicação crítica da missão ou falha.
um bom sistema de gestão de registos de Eventos vem com alertas comuns predefinidos (por exemplo, bloqueios excessivos de contas) e permite que os administradores criem os seus próprios eventos (desvios em relação às linhas de base esperadas que excedem um determinado limiar). Pode ser preciso vários eventos correlacionados de vários sistemas para gerar um alerta. Dependendo da raridade do evento, um único evento (por exemplo, logon para uma falsa conta “armadilha”) é suficiente para gerar um alerta. Um bom sistema vem com os eventos que a maioria dos administradores quer alertar e com filtros suficientes para cortar o lixo.
dica: comece por definir todos os eventos relacionados com os ataques mais recentes e mais prováveis futuros bem sucedidos da sua empresa, e depois descubra quais as mensagens de eventos e alertas que você precisa definir para detectar e parar esses ataques. Você tem muitos, muitos eventos de segurança para se preocupar, mas os mais importantes para monitorar e alertar sobre aqueles que mais provavelmente serão usados no futuro contra a sua empresa.
good event logging é sobre puxar para fora os eventos críticos necessários e alertas de uma quantidade de informação de outra forma esmagadora. O problema para a maioria dos administradores não é obter informações suficientes, mas em obter as informações verdadeiramente úteis de um tsunami esmagador de eventos. Um bom sistema de gerenciamento de log de Eventos ajuda você a fazer isso.