Mai multe companii își folosesc jurnalele de securitate pentru a detecta incidentele rău intenționate. Mulți dintre ei colectează prea multe date de jurnal—adesea miliarde de evenimente. Se laudă cu dimensiunea matricelor lor de stocare a jurnalelor. Sunt măsurate în terabytes sau petabytes?
un munte de date nu le oferă atât de multe informații utile pe cât și-ar dori. Uneori mai puțin este mai mult. Dacă primiți atât de multe alerte încât nu puteți răspunde în mod adecvat la toate, atunci ceva trebuie să se schimbe. Un sistem centralizat de gestionare a jurnalului vă poate ajuta. Această introducere rapidă în Logare și recomandările experților ajută noii administratori de sistem să înțeleagă ce ar trebui să facă pentru a profita la maximum de jurnalele de securitate.
elementele de bază ale logării evenimentelor de securitate
unul dintre cele mai bune ghiduri pentru logarea de securitate este Institutul Național de standarde& tehnologie (NIST) publicație specială 800-92, ghid pentru gestionarea jurnalului de securitate al computerului. Deși este un pic datat, scris în 2006, încă acoperă bine elementele de bază ale gestionării jurnalului de securitate.
se plasează generatoare jurnal de securitate în trei categorii: sistem de Operare, aplicație sau software specific de securitate (de exemplu, firewall-uri sau sisteme de detectare a intruziunilor ). Majoritatea computerelor au zeci de jurnale. Computerele Microsoft Windows vin cu trei jurnale principale de evenimente binare: sistem, aplicație și securitate. Din păcate, numele pot fi înșelătoare, iar dovezile evenimentelor de securitate sunt adesea stocate în toate cele trei jurnale.
de la Windows Vista, cele trei fișiere jurnal principale sunt împărțite în aproape o sută de vizualizări diferite pentru o digestie mai concentrată. Cel puțin o duzină sunt jurnale text sau binare, chiar și fără nicio altă aplicație instalată. Un sistem în stil Unix are de obicei un fișier syslog centralizat împreună cu alte fișiere jurnal bazate pe text pentru toate diferitele aplicații și demoni. Mulți administratori redirecționează fișierele individuale către fișierul principal syslog pentru a centraliza lucrurile.
smartphone-urile și alte dispozitive de calcul au de obicei și fișiere jurnal. Majoritatea sunt similare cu syslog, dar nu pot fi vizualizate sau accesate cu ușurință. Majoritatea necesită ca dispozitivul să fie pus într-un mod special de înregistrare a debugului sau să descarce software suplimentar pentru a vizualiza sau configura fișierele jurnal. O excepție este jurnalele de blocare iPhone, care sunt sincronizate de iTunes cu computerul gazdă la fiecare conexiune.
fișierele jurnal de securitate de pe dispozitivele mobile sunt mult mai greu de accesat și mult mai puțin utile odată ce faceți acest lucru. S-ar putea să puteți obține informații de bază despre un eveniment de securitate, dar cu mult mai puține detalii decât puteți obține de la computerul personal mediu. Mulți administratori instalează o aplicație terță parte pentru a colecta date de jurnal de securitate mai detaliate de pe un dispozitiv mobil.
Windows activează majoritatea fișierelor jurnal în mod implicit, deși poate fi necesar să definiți ce nivel de înregistrare doriți. Activarea celor mai multe detalii posibile trebuie făcută numai în timpul unei nevoi specifice sau în timp ce încercați să urmăriți un eveniment de securitate activ, cunoscut. În caz contrar, numărul de mesaje de eveniment poate copleși rapid un sistem. Multe sisteme au fost blocate, deoarece administratorii de sistem bine intenționați au activat cea mai detaliată înregistrare pentru a ajuta la diagnosticarea a ceva și apoi au uitat să o oprească.
sistemele în stil Unix au de obicei syslog activat în mod implicit și puteți configura nivelul de detaliu. Multe alte fișiere jurnal de aplicații și securitate sunt dezactivate în mod implicit, dar puteți activa fiecare individual cu o singură linie de comandă.
fiecare dispozitiv de rețea și aplicație de securitate și dispozitiv va genera propriile jurnale. În total, un administrator de sistem va avea sute de fișiere jurnal din care să aleagă. Un sistem tipic pentru utilizatorii finali poate genera mii până la zeci de mii de evenimente pe zi. Un server poate genera cu ușurință sute de mii la milioane de evenimente pe zi.
Tip: Cu excepția cazului în care cunoașteți un eveniment de securitate în curs, setările implicite ale Jurnalului vor oferi informații mai mult decât suficiente pentru majoritatea nevoilor de securitate. Începeți cu valorile implicite și adăugați fișiere jurnal și detalii numai după cum este necesar. Dacă activați înregistrarea detaliată, faceți un memento pentru a dezactiva detaliile suplimentare mai târziu, astfel încât să nu uitați.
securitate centralizată eveniment logare
fiecare administrator vrea să colecteze cele mai comune fișiere jurnal implicite ale fiecărui computer într-o locație centralizată. Valoarea agregării tuturor datelor într-o bază de date centralizată pentru alertare și analiză pur și simplu nu poate fi subestimată. Întrebarea este: cum agregați toate aceste date și cât de mult?
majoritatea sistemelor au capacitatea de a trimite fișierele jurnal principale într-o locație centralizată. Aproape întotdeauna veți obține mult mai multă valoare și versatilitate utilizând un agent terț construit exact pentru colectarea și trimiterea informațiilor din jurnalul de evenimente. Mulți administratori folosesc utilități gratuite pentru a face acest lucru, dar majoritatea opțiunilor comerciale sunt mai bune.
veți dori un sistem centralizat de gestionare a jurnalelor pentru a colecta, stoca și analiza toate datele. Există sute de opțiuni și furnizori de a alege între. Aveți opțiuni numai pentru software și aparate, acestea din urmă oferind mai ușor performanțe mai bune în majoritatea cazurilor. Alegeți o opțiune care vă permite să colectați în mod eficient și sigur date despre evenimente din majoritatea surselor dvs. Nu doriți să trimiteți datele jurnalului de evenimente prin fir în text clar. Software-ul de gestionare a jurnalului de evenimente trebuie să agregeze datele, să le normalizeze (să le convertească într-un format comun), să alerteze asupra evenimentelor anormale și să vă permită să rulați interogări.
înainte de a alege orice soluție, încercați înainte de a cumpăra. Doriți să puteți introduce orice interogare și să obțineți un răspuns într-un timp rezonabil. Dacă așteptați 10 până la 15 secunde pentru un răspuns, veți folosi analiza jurnalului de evenimente mai puțin și începe să-și piardă valoarea.
Majoritatea companiilor colectează toate datele din principalele fișiere jurnal implicite și pot fi cu ușurință copleșitoare, atât din punctele de vedere ale utilizării rețelei, cât și din cele de stocare. Vreau să spun asta la propriu, nu la figurat. Majoritatea administratorilor experimentați au o poveste despre modul în care agregarea jurnalelor de evenimente a zdrobit performanța rețelei lor până când și-au optimizat înregistrarea evenimentelor.
orice ai face, nu colecta doar informații de pe servere. Astăzi, majoritatea compromisurilor încep de la stațiile de lucru ale utilizatorilor finali. Dacă nu colectați fișierele jurnal de pe computerele client, veți pierde majoritatea datelor valoroase.
Tip: Generați cât mai multe detalii de care aveți nevoie în sistemul local, dar filtrați și trimiteți doar cele mai valoroase și critice evenimente către sistemul dvs. centralizat de gestionare a jurnalelor. Trimiteți tot ce este necesar pentru a genera alerte pentru toate cele mai importante evenimente de securitate, dar lăsați restul pe sistemul local. Puteți prelua întotdeauna detaliile adăugate atunci când este necesar. Folosind această metodă, puteți obține datele de care aveți nevoie pentru a primi alerte și a începe investigațiile medico-legale, dar fără a vă copleși rețeaua și dispozitivele de stocare. Există întotdeauna șansa ca un tip rău să poată șterge datele jurnalului de evenimente locale înainte de a le putea recupera, dar în practică nu am văzut aproape niciodată asta.
obținerea informațiilor utile din jurnal
cea mai grea parte a oricărui sistem de gestionare a jurnalului de evenimente este obținerea de informații suficiente pentru a putea detecta toate evenimentele de securitate necesare, fără a vă copleși sistemul cu prea mult zgomot. Chiar și în cele mai eficiente sisteme de management, majoritatea datelor colectate din jurnalul de evenimente vor fi zgomot. Este doar modul în care funcționează gestionarea jurnalului de evenimente.
sfat: asigurați-vă că data și ora sunt setate corect pe toate sistemele dvs. Când încercați să corelați evenimentele, trebuie să aveți timp exact.
unde sistemele de gestionare a jurnalelor de evenimente arată valoarea lor reală este în cât de bine filtrează zgomotul inutil și alertează asupra evenimentelor utile care pot fi acționate. Evenimentele critice ar trebui să conducă întotdeauna la o alertă imediată și la o investigație receptivă. O înregistrare eveniment ar trebui să fie definit ca acționabil atunci când înregistrarea eveniment indică probabilitatea puternică de activitate rău intenționat, activitate excesivă (susținută) sistem, scădere neașteptată (susținută) în activitatea sistemului, sau probleme critice de performanță aplicație sau eșec.
un sistem bun de gestionare a jurnalelor de evenimente vine cu alerte comune predefinite (de exemplu, blocarea excesivă a contului) și permite administratorilor să își creeze propriile evenimente (abateri de la liniile de bază așteptate care depășesc un anumit prag). Ar putea fi nevoie de mai multe evenimente corelate din mai multe sisteme pentru a genera o alertă. În funcție de raritatea evenimentului, un singur eveniment (de exemplu, conectarea la un cont fals „capcană”) este suficient pentru a genera o alertă. Un sistem bun vine cu evenimentele pe care majoritatea administratorilor doresc să le alerteze și cu suficiente filtre pentru a îndepărta gunoiul.
sfat: începeți prin a defini toate evenimentele legate de cele mai recente și cel mai probabil viitoare atacuri de succes ale companiei dvs. și apoi aflați ce mesaje de eveniment și alerte trebuie să definiți pentru a detecta și a opri aceste atacuri. Aveți multe, multe evenimente de securitate de care să vă faceți griji, dar cele mai importante de monitorizat și alertat asupra celor care sunt cel mai probabil să fie utilizate în viitor împotriva companiei dvs.
înregistrarea bună a evenimentelor înseamnă scoaterea evenimentelor critice necesare și a alertelor dintr-o cantitate de informații copleșitoare. Problema pentru majoritatea administratorilor nu este obținerea de informații suficiente, ci obținerea informațiilor cu adevărat utile dintr-un tsunami copleșitor de evenimente. Un sistem bun de gestionare a jurnalului de evenimente vă ajută să faceți acest lucru.