6 категорий журналов критически важной информации

Опубликовано:

Многие организации борются с PCI DSS и многочисленными нормативными требованиями, а также с современными угрозами (APT, вредоносное ПО, криминальные хакеры, мобильные угрозы, проблемы облачной безопасности и т.д.). Кроме того, у злоумышленников-инсайдеров появились новые способы нанести вред или обмануть компанию. В то же время важность информационных технологий для бизнеса и правительственных организаций сильно возросла и будет расти еще больше.

Чтобы обеспечить конфиденциальность и целостность сообщений журнала, журналы должны, как минимум, передаваться по зашифрованному каналу и храниться в зашифрованном формате. Дополнительные методы могут включать размещение журналов на отдельном диске или ресурсе от операционной системы или приложения, защиту их с помощью дополнительных средств контроля доступа, генерацию криптографических хэшей для подтверждения целостности и, безусловно, обеспечение синхронизации по времени всех источников журналов.

Отчеты по аутентификации и авторизации

Эти отчеты определяют успешные и неудачные попытки доступа к различным системам на нескольких уровнях привилегий пользователей (аутентификация), а также конкретные действия привилегированных пользователей и попытки использования привилегированных возможностей (авторизация).

Почему они важны

Аутентификация является основным барьером и средством контроля доступа к современным системам. От простых паролей до маркеров и криптографических механизмов, анализ действий по аутентификации в организации является одним из ключевых видов деятельности по обеспечению безопасности.

Специфические отчеты

Ключевыми отчетами в этой категории являются:

  • Все неудачи и успехи входа в систему по пользователям, системам, подразделениям: это может быть один отчет или несколько отчетов, показывающих успехи и неудачи входа в систему по различным системам, методам доступа (локальный, удаленный) и пользователям. Обратите внимание, что для того, чтобы этот отчет был ценным, необходимо, чтобы вы отслеживали успехи входа, а не только неудачи.
  • Попытки входа (успехи, неудачи) в отключенные/служебные/не существующие/по умолчанию/приостановленные учетные записи: эта группа отчетов охватывает попытки доступа к учетным записям и службам, к которым не должно быть доступа никогда. Как неудачи, так и успехи представляют интерес для специалистов по безопасности.
  • Все входы в систему после рабочего времени / в "нерабочее" время: как и в вышеуказанном отчете, такая активность обычно представляет интерес, особенно если попытка доступа успешна. Однако такие события необходимо расследовать, особенно в средах, где системные администраторы работают круглосуточно. Такие события необходимо исследовать, особенно в средах, где системные администраторы работают круглосуточно и без выходных. Одна из причин, по которой этот отчет является ценным, заключается в его контрасте с базовыми данными. Когда мы понимаем, как выглядит нормальная ситуация для предприятия, аномалии выделяются.
  • Сбои аутентификации пользователей по количеству уникальных попыток систем: этот агрегированный отчет должен выявлять сканирование учетных записей, когда одна машина проверяет наличие
    одну и ту же учетную запись или разные учетные записи во многих системах. Это немного похоже на старое доброе "сканирование хоста".
  • VPN-аутентификация и другие входы в систему удаленного доступа (успех, неудача): хотя все попытки входа в систему могут представлять интерес при определенных обстоятельствах, попытки удаленного входа, например, через VPN или другие методы удаленного подключения, представляют повышенный интерес и должны тщательно отслеживаться. Включение IP-адресов источников в этот отчет делает его особенно полезным.
  • Доступ к привилегированным учетным записям (успехи, неудачи): вход в root, использование su, использование Run As, а также соответствующие эквиваленты для других платформ и систем должны быть учтены, поскольку привилегированный пользователь обычно может нанести гораздо больший ущерб, чем обычный пользователь.
  • Несколько неудачных входов в систему с последующим успехом одной и той же учетной записи: хотя для создания этого отчета необходима корреляция на основе правил (в стиле SIEM), отслеживание нескольких неудачных входов в систему сразу после успешного подключения представляет несомненный интерес, поскольку это почти всегда указывает на успешные попытки угадать учетные данные.

Кто может использовать эти отчеты

Эти отчеты имеют универсальное применение, в зависимости от охвата систем. Директор по безопасности (CSO) может просматривать сводки аутентификации по всей организации, аналитик безопасности может использовать эти отчеты при ежедневном просмотре журналов, специалисты по реагированию на инциденты могут использовать их при расследовании инцидентов, а системные администраторы могут использовать эти отчеты на своих системах.

Отчеты об изменениях

Эти отчеты определяют различные системные и критические изменения безопасности различных информационных систем и сетевых активов - конфигурационных файлов, учетных записей, регламентированных и конфиденциальных данных и других компонентов системы или приложений.

Почему они важны

Несанкционированные изменения в информационных системах могут привести к дорогостоящим сбоям и потере данных, а также могут свидетельствовать об инцидентах безопасности. Кроме того, злоумышленники часто вносят изменения в ваши системы, чтобы обеспечить себе доступ в будущем. Усердное отслеживание изменений также улучшит работу ИТ в целом.

Специфические отчеты

Ключевыми отчетами в этой категории являются:

  • Добавления/изменения/удаления пользователей, групп: злоумышленники часто добавляют новые учетные записи, а затем иногда удаляют их после получения доступа. Этот тип привилегированной деятельности, если он санкционирован и основан на законном использовании, должен быть отличим от подозрительной деятельности по управлению учетными записями.
  • Добавление учетных записей администраторам / привилегированным группам: в частности, изменения учетных записей администраторов и других привилегированных пользователей должны быть на первом месте в списке отслеживаемых изменений учетных записей.
  • Смена и сброс паролей - пользователями и администраторами для пользователей: смена паролей часто так же важна, как и создание новых учетных записей. Они могут выполняться как пользователями, так и администраторами, в зависимости от политики изменения/сброса паролей в организации. Кроме того, этот отчет можно использовать для обеспечения того, чтобы авторизованные изменения паролей выполнялись в соответствии с графиком политики.
  • Добавления/изменения/удаления сетевых служб: новые службы, обеспечивающие подключение к сети, могут открыть вашу сеть для дополнительных атак; они также часто выполняются злоумышленниками. Создание новых служб в целом - это то, что необходимо отслеживать, независимо от того, являются ли они сетецентричными или нет. Регистрация процессов - в ключевых системах следует рассмотреть возможность аудита процессов, который регистрирует создание и/или завершение процессов. События создания процессов содержат идентификатор процесса (PID), идентификатор родительского процесса (PPID) и ответственного пользователя - бесценная информация при расследовании.
  • Изменения системных файлов - двоичных файлов, конфигураций: изменения системных файлов, таких как двоичные файлы и файлы конфигурации, будь то случайные, запланированные или злонамеренные, необходимо тщательно отслеживать.
  • Изменения других ключевых файлов: различные системы могут иметь обширные списки ключевых файлов в дополнение к двоичным исполняемым файлам и файлам конфигурации; доступ к ним также необходимо отслеживать.
  • Изменения в разрешениях доступа к файлам: более скрытой разновидностью рискованного изменения является изменение в разрешениях доступа к файлам; если не учесть эти изменения, они могут привести к компрометации конфиденциальных данных.
  • Установка и обновление приложений (успех, неудача) по системам, приложениям, пользователям: все установки и обновления приложений должны регистрироваться во всех системах; по крайней мере, эти журналы будут невероятно полезны во время инцидентов.

Кто может использовать эти отчеты

Эти отчеты имеют универсальное применение, в зависимости от охвата систем. Директор по безопасности (CSO) может просматривать сводки изменений по всей организации, аналитик безопасности может использовать эти отчеты при ежедневном просмотре журналов, специалисты по реагированию на инциденты могут использовать их при расследовании инцидентов, а системные администраторы могут использовать эти отчеты на своих системах.

Отчеты о сетевой активности

Эти отчеты выявляют подозрительные события в системе и потенциально опасные сетевые действия, а также действия, которые необходимо отслеживать для соответствия нормативным требованиям и/или PCI.

Почему они важны

Сеть - это основной вектор проникновения угроз в информационные активы. Очевидно, что сеть также является основным способом кражи информационных активов современных организаций.

Специфические отчеты

Ключевыми отчетами в этой категории являются:

  • Все исходящие соединения из внутренних и DMZ систем по системам, количеству соединений, пользователям, пропускной способности, количеству уникальных направлений: существует множество способов нарезки информации об исходящих соединениях из вашей среды, но принцип остается тем же: отслеживание того, кто подключается из вашей сети снаружи, является способом обнаружения вторжений, компрометации и вредоносного программного обеспечения - а также пользователей, злоупотребляющих доступом к сети. Будьте готовы к тому, что это может породить огромное количество материалов и журналов, особенно для крупных организаций.
  • Все исходящие соединения из внутренних и DMZ систем в "нерабочее" время: используя журналы брандмауэра и веб-прокси, можно использовать более целенаправленную версию вышеприведенного отчета и отслеживать только исходящий доступ в необычные часы, но при этом уменьшаются шансы найти компрометацию, так как многие из них происходят в результате открытия документа и т.д. в обычное рабочее время.
  • Топ самых больших передач файлов (входящих и исходящих) ИЛИ Топ самых больших сессий по количеству переданных байт: любой из этих двух отчетов позволяет организациям отслеживать откровенное воровство данных и злоупотребление пропускной способностью.
  • Загрузка веб-файлов на внешние сайты: на основе журналов прокси можно отследить, какие файлы загружаются на внешние сайты, а также прикрепляются к веб-почте.
  • Все загрузки файлов с указанием типа содержимого (exe, dll, scr, upx и т.д.) и протокола (HTTP, IM, e-mail и т.д.): отслеживание того, какие файлы попадают в вашу среду из Интернета, также важно и может быть выполнено путем отслеживания файлов по протоколам и методам. Обратите внимание, что исполняемые файлы - это не самые подозрительные файлы. Эксплойты могут быть упакованы в PDF, электронные таблицы Excel, а также в файлы других типов.
  • Внутренние системы, использующие множество различных протоколов/портов: хотя не существует надежного способа всегда отличать деятельность вредоносного ПО от законной, внутренние системы, внезапно начинающие "общаться" через множество новых портов и протоколов, являются известным признаком вредоносной деятельности.
  • Лучшие внутренние системы как источники нескольких типов оповещений NIDS, NIPS или WAF: один из самых полезных отчетов, отслеживающий внутренние информационные активы, которые вызывают множество оповещений из разных источников.
  • Сетевая активность VPN по имени пользователя, общему количеству байт сеансов, количеству сеансов, использованию внутренних ресурсов: в предыдущем разделе мы подчеркнули необходимость отслеживания входов в VPN, но использование VPN также следует отслеживать, чтобы выявить аномалии доступа и трафика VPN. Этот отчет должен включать IP-адрес источника.
  • Использование P2P внутренними системами: хотя пользователи, нарушающие политику приемлемого использования организации (AUP), могут быть в центре внимания отдела кадров; программное обеспечение P2P также может быть вектором для случайной и злонамеренной кражи и потери данных.
  • Активность беспроводной сети: устройства беспроводной сети могут записывать множество различных событий, но полезно относиться к ним как к VPN и другим сетевым механизмам удаленного доступа выше и отслеживать доступ (с именем пользователя или именем Windows); еще один полезный отчет о данных беспроводной сети будет включать обнаружение присутствия неавторизованной точки доступа и журналы ассоциации неавторизованных точек доступа.
  • Динамика объема журнала за несколько дней: хотя это и не является примером отчета о сетевой активности, просмотр необработанного объема журнала, созданного в вашей сети, чрезвычайно полезен в качестве общей картины всего пула данных журнала.

Кто может использовать эти отчеты

Эти отчеты имеют универсальное применение, в зависимости от охвата систем. Директор по безопасности (CSO) может просматривать сводки сетевой активности по всей организации, аналитик безопасности может использовать эти отчеты при ежедневном просмотре журналов, а специалисты по реагированию на инциденты могут использовать их при расследовании инцидентов. Системные администраторы могут использовать эти отчеты при управлении своими системами.

Отчеты о доступе к ресурсам

Эти отчеты определяют различные модели доступа к ресурсам систем, приложений и баз данных в организации и могут использоваться как для аудита деятельности, так и для выявления тенденций и инцидентов.

Почему они важны

Отслеживание доступа к ресурсам может быть использовано для выявления злоупотреблений со стороны инсайдеров и даже мошенничества. Они ценны во время реагирования на инциденты для определения того, к каким ресурсам злоумышленник получил доступ и, возможно, испортил или изменил их (см. раздел "Отчеты об изменениях" выше). Кроме того, доступ к ресурсам может использоваться для целей, не связанных с безопасностью, например, для планирования мощностей и других целей.

Специфические отчеты

Ключевыми отчетами в этой категории являются:

  • Доступ к ресурсам критически важных систем в нерабочее время / "нерабочие" часы: подобно вышеупомянутому отчету о доступе и входах в сеть в "нерабочее" время, этот отчет можно использовать для отслеживания доступа и действий в критически важных и регулируемых системах в необычное время.
  • Топ внутренних пользователей, заблокированных прокси-сервером для доступа к запрещенным сайтам, источникам вредоносного ПО и т.д.: этот универсальный отчет о доступе к сети может быть использован для различных целей - от отслеживания взломанных систем до отслеживания утечки данных и повышения производительности.
  • Доступ к файлам, сетевым ресурсам или ресурсам (успех, неудача): этот отчет может быть полезен при запуске для определенных проверяемых ресурсов; позволяет регистрировать доступ к файлам и системные вызовы.
  • Топ пользователей базы данных: чтобы быть полезным для отслеживания действий безопасности, он должен исключать известный доступ приложений к базе данных; в идеале, производственная база данных не должна иметь прямого доступа пользователей или разработчиков.
  • Сводка типов запросов: исключение известных запросов приложений позволяет использовать этот отчет в качестве инструмента обнаружения аномалий, который может показать аномальный доступ к базе данных.
  • Весь доступ привилегированных пользователей к базе данных: как и в случае с серверами и приложениями, все действия привилегированных пользователей должны записываться и периодически анализироваться.
  • Все пользователи, выполняющие команды базы данных INSERT, DELETE: в дополнение к отслеживанию доступа приложений и пользователей, имеет смысл отдельно отслеживать более вредные команды, которые могут уничтожить данные. Полезной практикой здесь является исключение известных запросов приложений.
  • Все пользователи, выполняющие команды CREATE, GRANT, изменения схемы базы данных: в дополнение к отслеживанию доступа приложений и пользователей имеет смысл отдельно отслеживать более вредные команды, которые могут уничтожить данные и изменить сам экземпляр базы данных.
  • Сводка резервных копий баз данных: резервные копии представляют собой чистый способ извлечения огромного количества данных из базы данных и, таким образом, совершения кражи данных; этот отчет позволит вам просмотреть, кто выполнял резервные копии баз данных, и отловить те, которые были выполнены без разрешения.
  • Топ внутренних адресов электронной почты, отправляющих вложения во внешнюю среду: среди многих отчетов о доступе к электронной почте этот отчет выделяется своей полезностью как для обнаружения и расследования злоупотреблений со стороны инсайдеров, так и для кражи данных.
  • Все типы содержимого вложений, размеры, имена: аналогично вышеуказанному отчету, этот отчет можно использовать для отслеживания утечки информации, а также для обнаружения пользователей, отправляющих по электронной почте потенциально важную информацию.
  • Все внутренние системы, отправляющие почту, исключая известные почтовые серверы: основной способ поиска систем, зараженных ботами, рассылающими спам, в вашей среде.
  • Сводка доступа к журналам: регистрация и последующий анализ доступа к журналам является хорошей практикой и обычно требуется нормативными документами. Этот базовый отчет может быть разработан таким образом, чтобы позволить вам исключить собственный просмотр данных журнала.

Кто может использовать эти отчеты

Эти отчеты имеют универсальное применение, в зависимости от масштаба охватываемых систем. Директор по безопасности (CSO) может просматривать сводки доступа к ресурсам по всей организации, аналитик по безопасности может использовать эти отчеты при ежедневном просмотре журналов, а специалистам по реагированию на инциденты они могут понадобиться при расследовании инцидента. Владельцы ресурсов и менеджеры ресурсов могут использовать эти отчеты для планирования мощностей и принятия других бизнес-решений.

Отчеты о деятельности вредоносного ПО

В этих отчетах обобщаются различные действия вредоносного ПО и события, вероятно связанные с вредоносным ПО.

Почему они важны

Вредоносное программное обеспечение в различных формах остается одним из ключевых векторов угроз для современных организаций, больших и малых. За последние несколько лет антивирусные инструменты теряют эффективность в обнаружении и остановке вредоносного ПО. Поэтому в борьбе с вредоносным ПО необходимо использовать другие источники информации, такие как журналы регистрации.

Специфические отчеты

Ключевыми отчетами в этой категории являются:

  • Тенденции обнаружения вредоносного ПО с результатами: базовый отчет с кратким описанием или тенденцией обнаружения вредоносного ПО, а также с указанием системы и результата (очищена или оставлена в покое) является хорошей отправной точкой.
  • События "только обнаружения" от антивирусных инструментов: все антивирусные инструменты регистрируют случаи, когда вредоносное ПО было обнаружено, но не очищено (по различным причинам); эти "оставленные в покое" события помогли многим организациям избежать масштабного ущерба.
  • Все сбои антивирусной защиты: учитывая, что современные вредоносные программы хорошо оснащены для борьбы с антивирусными инструментами, все сбои, выгрузки защитного механизма, сбои обновления и т.д. должны регистрироваться и просматриваться.
  • Внутренние соединения с IP-адресами известных вредоносных программ: этот невероятно полезный отчет использует журналы (такие как брандмауэр или другие) и публичный черный список IP-адресов; этот простой подход может остановить организацию от потери ценных данных операторами вредоносных программ.
  • Наименее распространенные типы вредоносного ПО: наряду с другими отчетами "Bottom 10" (в отличие от "Top 10"), этот отчет дает полезное представление о необычном и, следовательно, возможном вредоносном ПО в вашей организации.

Кто может использовать эти отчеты

Эти отчеты полезны для всех специалистов по безопасности, от младшего администратора, отвечающего за антивирус на рабочем столе, до CSO, отвечающего за безопасность всей организации. Такие отчеты также полезны при реагировании на инциденты и расследовании заражения вредоносным ПО.

Отчеты о критических ошибках и сбоях

В этих отчетах обобщаются различные существенные ошибки и признаки сбоев, часто имеющие непосредственное значение для безопасности.

Почему они важны

Сообщения журнала ошибок и сбоев часто представляют собой ценные ранние признаки угроз безопасности, включая современные угрозы, не улавливаемые специфическими для безопасности устройствами, такими как IDS и IPS системы. Пристальное внимание к необычным сообщениям об ошибках часто окупается, когда в вашей сети проявляется новый фактор угрозы, способный нанести вред.

Специфические отчеты

Ключевыми отчетами в этой категории являются:

  • Критические ошибки по системе, приложению, подразделению: хотя на первый взгляд они не имеют большого значения для безопасности, различные сообщения об ошибках, появляющиеся в журналах (особенно в первый раз), должны быть изучены, поскольку они часто являются очень ранним признаком вредоносной деятельности.
  • Сбои системы и приложений, выключения, перезагрузки: при сбое приложений - из-за неудачных атак или по другим причинам - вероятно, пострадает функционирование бизнеса; эти события следует не только воспринимать как влияющие на доступность, но и исследовать как возможные ранние косвенные признаки атак.
  • Сбои резервного копирования - критические события, влияющие на непрерывность бизнеса и, возможно, на соответствие нормативным требованиям; кроме того, несанкционированное резервное копирование (в данном случае неудачное) может быть вызвано попытками злоумышленников украсть данные.
  • События исчерпания емкости / лимита памяти, дисков, процессора и других системных ресурсов часто происходят из-за несанкционированного использования бизнес-систем злоумышленниками или другими лицами, высокое использование ресурсов также может быть вызвано потоками атак, отказом в обслуживании или атаками грубой силы.

Кто может использовать эти отчеты

Эти отчеты полезны для всех специалистов по безопасности, от младшего администратора, отвечающего за антивирусную защиту настольных компьютеров, до CSO, отвечающего за безопасность всей организации. Эти отчеты также полезны при реагировании на инциденты и расследовании заражения вредоносным ПО. Другие ИТ-специалисты также могут извлечь из них пользу.

Смотрите также:
Понравилась статья? Поделиться с друзьями:
Добавить комментарий