KONTROLA CIS 08: ZARZĄDZANIE LOGAMI AUDYTÓW 0
KONTROLA CIS 08: ZARZĄDZANIE LOGAMI AUDYTÓW

Kontrola CIS 08: Zarządzanie logami audytów

Logi audytowe stanowią bogate źródło danych krytycznych dla zapobiegania, wykrywania, rozumienia i minimalizowania wpływu naruszeń sieci lub danych w odpowiednim czasie. Gromadzenie logów i ich regularne przeglądanie jest przydatne do określania linii bazowych, ustalania trendów operacyjnych i wykrywania nieprawidłowości. W niektórych przypadkach logowanie może być jedynym dowodem udanego ataku. Kontrola 8 CIS podkreśla potrzebę scentralizowanego gromadzenia i przechowywania oraz standaryzacji w celu lepszej koordynacji przeglądów dzienników audytowych. W niektórych branżach istnieją organy regulacyjne, które wymagają gromadzenia, przechowywania i przeglądania dzienników, dlatego kontrola 8 CIS jest nie tylko ważna, ale w niektórych przypadkach obowiązkowa.

Kontrola ta składa się z dwunastu zabezpieczeń, głównie w kategorii IG2, z funkcjami bezpieczeństwa "Chroń lub wykrywaj", które powinny być wdrożone przez wszystkie organizacje posiadające aktywa przedsiębiorstwa. Logi audytowe powinny przechwytywać szczegółowe informacje o (1) jakie zdarzenie miało miejsce, (2) w jakim systemie zdarzenie miało miejsce, (3) w jakim czasie zdarzenie miało miejsce oraz (4) kto spowodował zdarzenie. Alerty powinny być ustawiane dla podejrzanych lub poważnych zdarzeń, takich jak próby dostępu do zasobów przez użytkowników bez odpowiednich uprawnień lub wykonywanie binariów, które nie powinny istnieć w systemie.

Logi audytowe są również celem dla napastników chcących zatrzeć ślady. Dlatego też, logowanie audytowe musi być skonfigurowane tak, aby wymuszać kontrolę dostępu i ograniczać użytkowników, którzy mogą modyfikować lub usuwać dane z logów.

Normy CIS Benchmarks, dostępne dla wielu rodzin produktów, są przewodnikami po najlepszych praktykach w zakresie konfiguracji zabezpieczeń, które są odwzorowane na kontrolach i prowadzą użytkownika krok po kroku przez remediację konfiguracji.

Kluczowe wnioski dla kontroli 8

Plan zarządzania dziennikami audytów powinien przynajmniej wdrażać procesy w celu:

Zapewnienia, że szczegółowe, zsynchronizowane czasowo logi audytowe są gromadzone w aktywach przedsiębiorstwa.
Zapewnienie, że logi są przechowywane w scentralizowanej lokalizacji i zachowywane przez minimum 90 dni.
Zapewnienie cotygodniowego lub częstszego przeglądania dzienników audytowych w celu ustalenia linii bazowych i wykrycia potencjalnych zagrożeń.

Zabezpieczenia dla kontroli 8

1. Ustanowienie i utrzymywanie procesu zarządzania logami audytów

Opis: Ustanowienie i utrzymywanie procesu zarządzania dziennikami audytów, który definiuje wymagania przedsiębiorstwa dotyczące dzienników. Jako minimum, należy uwzględnić gromadzenie, przegląd i przechowywanie dzienników dotyczących zasobów przedsiębiorstwa. Przegląd i aktualizacja dokumentacji co roku lub w przypadku wystąpienia znaczących zmian w przedsiębiorstwie, które mogą mieć wpływ na to zabezpieczenie.

Uwagi: To zabezpieczenie IG1 ma na celu ochronę aktywów przedsiębiorstwa poprzez zapewnienie, że dzienniki audytów są gromadzone, przeglądane i przechowywane w sposób systematyczny i powtarzalny. Dzienniki audytów muszą być kompletne i dokładne. Konieczne może być zaplanowanie symulacji zdarzeń w celu sprawdzenia, czy generowane są pożądane dzienniki. Mogą być wymagane narzędzia do pobierania i przeszukiwania dzienników. Może zaistnieć potrzeba normalizacji danych dziennika w celu umożliwienia szybkiej i skutecznej analizy.

2. Zbieranie logów audytu

Opis: Zbieranie logów audytu. Upewnij się, że logowanie, zgodnie z procesem zarządzania logami w przedsiębiorstwie, zostało włączone dla wszystkich zasobów przedsiębiorstwa.

Uwagi: To zabezpieczenie IG1 ma na celu wspieranie wykrywania zagrożeń dla zasobów przedsiębiorstwa. Jest to podstawowa higiena cybernetyczna, która powinna być wdrożona przez wszystkie przedsiębiorstwa.

3. Zapewnienie odpowiedniego przechowywania dzienników audytowych

Opis: Zapewnienie, że miejsca docelowe logowania utrzymują odpowiednie przechowywanie w celu zachowania zgodności z procesem zarządzania dziennikami audytów przedsiębiorstwa.

Uwagi: To zabezpieczenie IG1 wspiera ochronę aktywów przedsiębiorstwa i przechowywanie historii dziennika, zapewniając spełnienie wymagań audytu dziennika lub zgodności.

4. Standaryzacja synchronizacji czasu

Opis: Znormalizuj synchronizację czasu. Skonfiguruj co najmniej dwa zsynchronizowane źródła czasu w zasobach przedsiębiorstwa, jeśli są obsługiwane.

Uwagi: Ten element Zabezpieczenia IG2 obsługuje korelację danych dziennika poprzez synchronizację znaczników czasu.

5. Zbieranie szczegółowych dzienników audytu

Opis: Skonfiguruj szczegółowe dzienniki audytu dla zasobów przedsiębiorstwa zawierających dane wrażliwe. Obejmuje nawet źródło, datę, nazwę użytkownika, znacznik czasu, adresy źródłowe, adresy docelowe i inne przydatne elementy, które mogą pomóc w dochodzeniu sądowym.

Uwagi: To zabezpieczenie IG2 ma na celu wspieranie wykrywania nieprawidłowości i kompromitacji danych poprzez zapewnienie gromadzenia dzienników werbalnych, które pozwalają na odtworzenie tego, co wydarzyło się podczas zdarzenia oraz ustalenie zakresu dotkniętych aktywów.

6. Zbieranie logów audytu zapytań DNS

Opis: Zbieranie logów audytu zapytań DNS na aktywach przedsiębiorstwa, tam gdzie jest to właściwe i wspierane.

Uwagi: Logi zapytań DNS mogą pomóc w wyśledzeniu błędnie skonfigurowanych hostów lub oznak i źródła włamania lub ataku.

7. Zbieranie logów audytu zapytań URL

Opis: Zbieranie logów audytu zapytań URL na zasobach przedsiębiorstwa, tam gdzie jest to właściwe i wspierane.

Uwagi: To zabezpieczenie IG2 ma na celu wykrywanie zagrożeń i anomalnych zdarzeń związanych z żądaniami URL.

8. Zbieranie logów audytu wiersza poleceń

Opis: Zbieranie logów audytu z wiersza poleceń. Przykładowe implementacje obejmują zbieranie logów z PowerShell, BASH i zdalnych terminali administracyjnych.

Uwagi: To zabezpieczenie IG2 ma na celu wykrycie nietypowego lub zagrażającego zachowania na konsolach poleceń. Atakujący mogą wykorzystywać wspólny zestaw poleceń od rozpoznania do eksfiltracji lub wpływu.

9. Centralizacja logów audytu
Opis: Centralizacja, w możliwym zakresie, zbierania i przechowywania dzienników audytowych w zasobach przedsiębiorstwa.

Uwagi: To zabezpieczenie IG2 ma na celu wspieranie innych zabezpieczeń kontroli w organizacjach, które mają zwiększoną złożoność operacyjną. Centralizacja dzienników audytów uprości ich zbieranie, przechowywanie i przeglądanie. Istnieją narzędzia do pobierania, normalizacji i parsowania dzienników w celu efektywnego wyszukiwania i analizy.

10. Przechowywanie logów audytu
Opis: Przechowywanie logów audytu dla wszystkich zasobów przedsiębiorstwa przez minimum 90 dni.

Uwagi: To zabezpieczenie IG2 ma na celu ochronę aktywów przedsiębiorstwa poprzez wymaganie przechowywania danych dziennika w czasie rzeczywistym przez okres czasu w celu zaspokojenia potrzeb audytu lub zgodności z przepisami.

11. Przeprowadzanie przeglądów logów audytowych
Opis: Przeprowadzać przeglądy dzienników audytowych w celu wykrycia anomalii lub nienormalnych zdarzeń, które mogą wskazywać na potencjalne zagrożenie. Przeglądy należy przeprowadzać raz w tygodniu lub częściej.

Uwagi: Nie wystarczy tylko zbierać dzienniki audytu. To zabezpieczenie IG2 ma na celu wykrycie nietypowego zachowania poprzez okresowe przeglądy dzienników.

12. Zbieranie logów dostawcy usług
Opis: Zbierać dzienniki dostawcy usług, jeśli jest to obsługiwane. Przykładowe implementacje obejmują zbieranie zdarzeń uwierzytelniania i autoryzacji, zdarzeń tworzenia i usuwania danych oraz zdarzeń zarządzania użytkownikami.

Uwagi: To zabezpieczenie IG3 wspiera wykrywanie zagrożeń i anomalnych zdarzeń związanych z dostawcami usług.

Autor: TYLER REGULY

Komentarze do wpisu (0)

Wersje językowe
Kategorie blog
Newsletter
Podaj swój adres e-mail, jeżeli chcesz otrzymywać informacje o nowościach i promocjach.
do góry
Sklep jest w trybie podglądu
Pokaż pełną wersję strony
Sklep internetowy Shoper.pl