信息安全手册之系统监视指南(信息安全完全参考手册)

事件记录和审核

事件日志记录策略

通过制定事件日志记录策略,同时考虑到组织与其服务提供商之间的任何共同责任,组织可以提高检测系统和网络上恶意行为的机会。此类事件日志记录策略将涵盖 要记录的事件、要使用的日志记录工具、事件日志保留期以及如何保护事件日志。

开发并实现事件日志记录策略。

集中式测井设施

集中式日志记录工具可用于关联来自多个源的事件日志。此功能可能由安全信息和事件管理解决方案提供。

实施了集中式日志记录工具,并配置了系统,以便在每次事件发生后尽快将事件日志保存到集中式日志记录设施。

建立准确的时间源,并在系统和网络设备之间一致地使用,以帮助关联事件。

信息安全手册之系统监视指南(信息安全完全参考手册)

要记录的事件

以下事件列表有助于监视系统的安全状况,检测恶意行为,并有助于在网络安全事件后进行调查。

对于任何需要身份验证的系统,都会记录登录、失败登录和注销事件。

为操作系统记录以下事件:

1.访问重要数据和流程

2.应用程序崩溃和任何错误消息

3.尝试使用特殊权限

4.账户更改

5.安全策略的更改

6.更改系统配置

7.域名系统和超文本传输协议请求

8.尝试访问数据和系统资源失败

9.服务故障和重新启动

10.系统启动和关闭

11.与外部介质之间传输数据

12.用户或组管理

13.使用特权。

为Web应用程序记录以下事件:

1.尝试访问被拒绝

2.崩溃和任何错误消息

3.用户发起的搜索查询。

为数据库记录以下事件:

4.获取特别重要的 数据

5.添加新用户,尤其是特权用户

6.任何包含注释的查询

7.包含多个嵌入式查询的任何查询

8.任何查询或数据库警报或故障

9.尝试提升特权

10.尝试成功或不成功的访问

11.对数据库结构的更改

12.对用户角色或数据库权限的更改

13.数据库管理员操作

14.数据库登录和注销

15.修改数据

16.使用可执行命令。

事件日志详细信息

对于记录的每个事件,需要记录足够的详细信息才能使事件日志有用。

对于记录的每个事件,都会记录事件的日期和时间、相关用户或过程、事件描述以及所涉及的ICT设备。

事件日志保护

有效的事件日志保护和存储(从创建到销毁)可确保捕获的事件日志的完整性、可用性和不可否认性。

事件日志受到保护,防止未经授权的访问、修改和删除。

信息安全手册之系统监视指南(信息安全完全参考手册)

事件日志保留

由于事件日志可能有助于网络安全事件后的调查,因此理想情况下,它们应该在系统的生命周期内保留,并且可能更长。但是,根据澳大利亚国家档案馆(NAA)的行政职能处置局快速版本2出版物,这些记录的最低保留要求为七年。

事件日志根据NAA的行政职能处置机构快速版本2发布保留至少7年。

Domain名称系统和代理日志至少保留18个月。

事件日志审核过程

事件日志审核是维护系统安全状况不可或缺的一部分。此类活动可以帮助检测和归因任何违反安全策略的行为,包括网络安全事件。

开发和实施了Event日志审核过程和支持事件日志审核过程,涵盖审核的范围和计划、构成违反安全策略的内容以及检测到违规行为时要采取的操作,包括报告要求。

事件跨事件日志关联,以优先处理审核和重点调查。

注:本文档翻译参考来源为澳大利亚ACSC,部分内容在本文中做了技术性调整,具体实施请参考我国有关标准,本文仅为大家提供一个信息安全的思路拓展。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

(0)
上一篇 2022年7月3日 上午10:57
下一篇 2022年7月3日 上午10:59

相关推荐