監査およびイベントログ監視のトップテン

イベントログ、監査ログおよびSyslogメッセージは、常にトラブルシューティングおよび診断情報の良い情報源となっているが、集中ログサーバーに監査証跡ファイルをバックアップする必要性は、現在多くのガバナンス基準の必須コンポーネントです。コンテンポラリー、SIEMソリューションは、する必要があり
すべてのデバイス、オペレーティングシステム、プラットフォーム、データベース、アプリケーションの要求を満たすのに十分な•柔軟
イベントの数百万を生成する何千ものデバイスにも対応•十分にスケーラブル
•インテリジェントな、イベントの相関関係を把握し、真のセキュリティインシデントを識別することだけなので、リソースが本物の脅威と攻撃に集中することができます。

これは入門 "監査証跡とイベントログ監視のトップテン"です。
1。このようなPCI DSSとGCSxココなどのセキュリティ標準とコーポレート·ガバナンスコンプライアンス·ポリシー、ロギングメカニズムとそれらが検出、またはデータ妥協の影響を最小限に抑え、予防するのに重要であるとして、ユーザーの行動を追跡することができる必要があります。そのようなFISMA、サーベンス·オクスリー法、NERC CIPは、ISO 27000やHIPAAなどの他のポリシーのセキュリティインシデントを識別するための集中管理、監査ログ·イベントの手段からのすべての利益を得ます。

2。監査ログの相関技術における最先端技術を積極的にテストおよび事前構成された、アウトオブボックスポリシーに対してサーバ環境を把握し、最小限の配備ウィンドウを有効にするために貢献し、自動化された構成の評価を提供しています。最善のソリューションを活用し、業界標準、インターネットセキュリティ（CIS）、国立標準技術研究所（NIST）、および国防情報システム局（DISA）のためのセンターから具体的にベンチマーク。これらのベンチマークは、FISMAの自動持続可能な政策のコンプライアンス·テストを可能にする設定査定の数千人を含む。

3。このようなPCI DSSとGCSxココなどのセキュリティ基準は、ネットワークリソースおよびカード会員データロギングメカニズムへのすべてのアクセスおよびユーザの行動を追跡する能力を追跡し、監視する必要性を義務付ける。何かがうまくいかない場合は、すべての環境でログが存在することに徹底的な追跡と分析を行うことができます。妥協の原因を決定することは、システムアクティビティログなしでは非常に困難です。中央イベント·ログアナライザは、使用するのに最適なオプションです。

4。それが一元化監査ログ証跡については、お使いのシステムは、堅牢かつ包括的であることが不可欠です。 PCI DSSは、監査証跡の履歴が即時にアクセス可能に少なくとも3ヶ月の歴史を持つ少なくとも1年間保持される必要があります。最高の監査ログのトラッキングソフトウェアソリューションは、インスタントキーワード検索や相関設備を備えたログをリアルタイムでインデックスを提供します。

5。 UnixおよびLinuxホストが前方syslogを使用して歩道とシステムイベントを監査することができますが、Windowsサーバでは、Windowsのイベントを転送するための内蔵のメカニズムを持っていない、それがsyslogにWindowsイベントログを変換するためにエージェントを使用する必要があります。 Windowsイベントは、その後、一元監査ログサーバを使用して収集することができる。同様に、OracleまたはSQL Serverを使用してアプリケーションやカスタムメイドまたは非標準のアプリケーションがイベントを転送するようにsyslogを使用していない、それは、これらのアプリケーションからイベントを転送するようにエージェントを使用する必要があります。あなたは、IBM z / OSメインフレームやAS/400システムを使用している場合は最後に、イベントと監査ログメッセージを集中管理する、さらにエージェント技術が必要になります。

6。監査証跡の履歴がしっかりと回顧編集や改ざんを防止するために保存する必要があります。 PCI DSSには、監査証跡が速やかに変更することは困難である一元管理ログサーバまたは媒体にバックアップされている必要があります。最高の一元管理ログサーバソリューションは、すべての変更が検出され、警告を受けることができるように、ログのバックアップファイルのファイル整合性監視を採用しています。

7。ファイアウォール（例えばレチンイーアイとしてチェックポイント、マカフィーサイドワインダー、ジュニパー、Netscreenの場合、Cisco ASAは、ノキア、侵入防御システム（IPS）、侵入検知システム（IDS）、ルータ、AAAおよびRADIUSアカウンティングおよび認可サービス、脆弱性スキャンソリューションは、Nessusと他のペンのテスト·ソリューション、無線ルータは、すべてネイティブの重要なイベントに至るまで、低レベルの情報のログからイベントの範囲を報告するためにSyslogメッセージを生成切り替わります。

8。 Syslogメッセージは、RFC 3164で定義されており、正式にはBSD Syslogプロトコルとして知られています。異なるポートを使用することもできるsyslogメッセージは、デフォルトではポート514でUDPを使用して送信されます。 Syslogメッセージは、ファシリティコードおよび重大度コードの範囲を使用します。ファシリティコードは、0から23の範囲およびメッセージ·タイプを決定します。次のように0〜7の重大度コードの範囲
0緊急：システムが使用不能である
1警告：すぐに対処する必要があります
2クリティカル：クリティカル条件
3エラー：エラー条件
4警告：警告の状態
5通知：正常だが重大な状態
情報6：情報メッセージ
7デバッグ：デバッグレベルメッセージ

9。ガートナーによって定義されるようにセキュリティインシデントおよびイベント管理やSIEM市場は収穫監査ログだけでなく、そのソリューションの高度な世代をカバーし、一元管理ログサーバ機能が、パースのイベントログメッセージを提供し、それらが保存されているように、イベント·ログを分析します。これは、イベント·ログはハッカーの活動と攻撃パターンを識別し、ITセキュリティチームに通知するために相関することができます。最良のSIEM​​システムは、IPS、IDS、AAAおよびRADIUSシステム、アンチウイルス、ホストインテグリティ監視システム、ファイル整合性監視ソフトウェア、ファイアウォール、Active Directoryから相互参照事象によって脅威のシグネチャを認識する人工知能機能の範囲を採用すると見ログファイルや繰り返し/連続したログオンの失敗、またはパスワードが間違ってイベントが生成されます "強引な"ハッキングの削除などの古典的なハッカーの活動のために。

10。本物の、深刻な攻撃パターンやセキュリティインシデントの管理可能なリストにスポットライトを配置しながら、任意のSIEM​​ソリューションの目標は、包括的なログ·ハーベスティングを提供することであり、自動的にすべての "情報のみ"または "通常の動作"のイベントをフィルタリングします。でも、中規模企業は、数千または正しく実装SIEMシステムは非常に貴重ですので、インフラストラクチャ内のデバイスによって生成されるイベントの数十万人を持つことができます。