Log-Management-Verwaltung für Sicherheit und Compliance

Hat jemand nicht autorisierte Änderungen an Ihren Active Directory-Richtlinien oder Zugriffssteuerungslisten (Access Control Lists, ACLs) für ein Verzeichnis auf einem Server vorgenommen, der geistiges Eigentum des Unternehmens enthält? Hat sich jemand unbefugten Zugriff auf Daten verschafft, die gesetzlich geregelt sind, wie z.B. als HIPAA? Versucht jemand, sich in Ihre internen Systeme zu hacken? Was ist, wenn Ihr Compliance-Beauftragter Sie nach SOX-zentrierten Berichten fragt?

Jeden Tag generieren Computernetzwerke auf der ganzen Welt Aufzeichnungen über die Ereignisse, die auftreten. Einige sind Routine. Andere sind Indikatoren für einen Rückgang des Netzwerkzustands oder versuchte Sicherheitsverletzungen. Protokolldateien enthalten eine Fülle von Informationen, um eine Die Exposition des Unternehmens gegenüber Eindringlingen, Malware, Schäden, Verlusten und rechtlichen Verpflichtungen. Protokolldaten müssen gesammelt, gespeichert, analysiert und überwacht werden, um regulatorische Compliance-Standards wie Sarbanes Oxley, Basel II, HIPAA, GLB, FISMA, PCI DSS, NISPOM. Dies ist eine gewaltige Aufgabe, da Protokolldateien aus vielen verschiedenen Quellen, in verschiedenen Formaten und in großen Mengen stammen und viele Unternehmen keine geeignete Protokollverwaltungsstrategie zur Überwachung und Sicherung haben. ihr Netzwerk.

Als Reaktion darauf werden in diesem Artikel allgemeine Anforderungen an das Ereignis- und Protokollmanagement (ELM) und bewährte Methoden erläutert, um das Potenzial für Sicherheitsverletzungen zu verringern und die Möglichkeit von Rechts- oder Compliance-Problemen zu verringern.

Warum zentralisierte Ereignis- und Protokollverwaltung (CENTRALIZED Event and Log Management, ELM) wichtig ist

Jedes System in Ihrem Netzwerk generiert eine Art Protokolldatei. Tatsächlich wird für jedes Ereignis oder jede Transaktion, die auf einem Computer oder einer Hardware stattfindet, ein Protokolleintrag erstellt – stellen Sie sich das als Ihr "Journal of Record" vor. Microsoft-basiert Systeme generieren Windows-Ereignisprotokolldateien, und UNIX-basierte Server und Netzwerkgeräte verwenden das Systemprotokoll oder den Syslog-Standard. Webanwendungsserver wie Apache oder IIS sowie Load Balancer, Firewalls, Proxyserver oder Content Security-Appliances W3C/IIS-Protokolldateien generieren.

Die zentralisierte Protokollverwaltung sollte eine Schlüsselkomponente Ihrer Compliance-Initiativen sein, da Sie mit zentralisierten Protokollen Dateizugriff, nicht autorisierte Aktivitäten von Benutzern, Richtlinienänderungen und andere kritische Aktivitäten überwachen, überwachen und Berichte erstellen können. für Dateien oder Ordner, die proprietäre oder regulierte personenbezogene Daten wie Mitarbeiter-, Patienten- oder Finanzunterlagen enthalten. Eine zentralisierte Protokollverwaltungsstrategie sollte die Überwachung von Ereignisprotokollen, Syslog- und W3C-Protokollen umfassen. Und das ist der Schlüssel, weil Informationsverletzungen kommen gleichermaßen aus internen und externen Quellen. Beispielsweise geben Ihnen Windows-Ereignisprotokolle Einblick in potenziell schädliche Aktivitäten, die von verärgerten Mitarbeitern durchgeführt werden, während die Syslog-Verwaltung Ihnen die Kontrolle über Ihren Netzwerkperimeter.

Windows-basierte Systeme verfügen über mehrere verschiedene Ereignisprotokolle, die konsistent überwacht werden sollten. Von diesen Protokollen ist das Sicherheitsprotokoll das wichtigste. Es liefert wichtige Informationen darüber, wer im Netzwerk angemeldet ist und was sie tun. Sicherheit Protokolle sind für das Sicherheitspersonal wichtig, um zu verstehen, ob in der Sicherheitsimplementierung Schwachstellen bestehen.

Syslog ist ein Protokollmeldungsformat und Protokollübertragungsprotokoll, das von der Internet Engineering Task Force (IETF) in RFC-3164 mit Entwurfsverbesserungen in RFC-5424 als Standard definiert wurde. Netzwerkgeräte, UNIX- und Linux-Systeme sowie viele Software und Hardware Plattformen implementieren Syslog als Standardprotokollierungsformat und Mittel zum Übertragen und Sammeln dieser Protokolldateien in einem zentralen Protokollverwaltungs-Repository. Mithilfe von Syslog-Informationen können Sie sehr detaillierte Informationen über den Status eines Geräts erfassen. oder eine Reihe von Geräten. Die Informationen können sortiert und analysiert werden, um atypisches Verhalten durch Änderungen in Betriebs- oder Leistungsmustern zu sehen. Diese Änderungen können auf ein einzelnes oder mehrere Probleme hinweisen. Die Speicherung von Syslog-Protokolldaten kann auch unterstützen Compliance-Bemühungen durch die Bereitstellung von Überwachungsprotokollen, um alle Ereignisse zu verfolgen, die die Netzwerkzuverlässigkeit und den Schutz von Daten beeinträchtigen können. Dies ist wichtig, da es den Prüfern die Kontrolle über alle Informationen beweist.

In ähnlicher Weise liefern W3C-Protokolle auch Informationen über Benutzer- und Serveraktivitäten. Auch diese Überwachungsprotokolle sollten überwacht werden, da sie wertvolle Informationen liefern, anhand derer Sie nicht autorisierte Kompromittierungsversuche, z. B. Ihren Webserver, identifizieren können. IIS-Protokolldateien sind ein festes (d. h. es kann nicht angepasst werden) ASCII-Format, das mehr Informationen als andere Protokolldateiformate auftakt, einschließlich grundlegender Elemente wie ip-Adresse des Benutzers, Benutzername, Anforderungsdatum und -uhrzeit, Dienststatuscode, und Anzahl der empfangenen Bytes. Darüber hinaus enthält das IIS-Protokolldateiformat detaillierte Elemente wie die verstrichene Zeit, die Anzahl der gesendeten Bytes, die Aktion und die Zieldatei.

Durch die Bereitstellung einer zentralisierten Protokollverwaltungslösung können Sie die häufig überwältigende Menge an Protokollinformationen, die von Ihren Systemen generiert werden, problemlos verwalten. Der Echtzeitzugriff auf Protokolldaten ermöglicht es Ihnen, diese eine "Nadel im Heuhaufen" zu filtern und zu lokalisieren Ereignis, das die Ursache für eine Sicherheitsverletzung sein könnte.

Wie viele Protokolldaten sind vorhanden?

Jeden Tag produzieren Ihre Server und andere Netzwerkgeräte 10 von Tausenden von Protokolleinträgen. Tatsächlich sammelt das durchschnittliche Unternehmen bis zu 4 GB Protokolldaten pro Tagan. Über 95% der Daten in den Logfiles bestehen aus detaillierten Einträge, die jedes erfolgreiche Ereignis oder jede Transaktion aufzeichnen, die auf dem System stattfindet. Zum Beispiel; Ein Serverabsturz, Benutzeranmeldungen, Starten und Stoppen von Anwendungen und Dateizugriff.

Viele Administratoren sind überrascht zu erfahren, dass "einfache" Protokolldateien zu einer so großen Datenmenge führen können, die gesammelt und dann gespeichert wird. Es ist die Wahrnehmung dieser meist routinemäßigen Daten, die im Mittelpunkt der Versäumnis, die ständig generierten Protokolldaten zu erfassen, zu speichern und zu analysieren. Sie sollten niemals die Bedeutung der Daten in diesen Dateien unterschätzen.

Beim manuellen Sammeln und Überprüfen von Protokolldaten müssen Sie sich darüber im Klaren sein, dass je mehr Server Protokolldaten erstellen, desto mehr Erkennungs- und Lokalisierungspotenzial für ein sicherheitsbezogenes oder Compliance-Problem nimmt im Laufe der Zeit exponentiell ab.

Sicherheit innerhalb des Perimeters

Sicherheit steht bei der IT-Strategie eines Unternehmens jeder Größe immer im Vordergrund. Normalerweise konzentriert sich diese Strategie auf den Umkreis des Netzwerks, um unbefugten Zugriff oder Angriffe von böswilligen Parteien zu verhindern, die nicht mit der Organisation verbunden sind.

Während externe Sicherheit unerlässlich ist, was ist mit den internen Aspekten? Ein nosy Mitarbeiter, der vertrauliche Finanzdaten des Unternehmens einsehen möchte und seine Zugriffsberechtigungen ändert? Oder ein verärgerter Mitarbeiter, der eine Hintertür zu einem Schlüsselserver geschaffen hat und ist dabei, Terabyte an Kundendaten zu löschen? Obwohl dies extreme Fälle sein können, sind Sie bereit, diesen möglichen Ereignissen entgegenzuwirken? Das Potenzial für eine Sicherheitsverletzung ist von einer internen Quelle genauso wahrscheinlich wie von außen. In Tatsache, es kann sogar höher sein. Wie wir in der Zusammenfassung besprochen haben, ist das Haftungspotenzial beträchtlich, wenn eine unbefugte Person auf Daten zugreift, die durch einen Gesetzgebungsakt geschützt gelten.

Durch die Etablierung einer umfassenden ELM-Strategie zur Sicherheitsüberwachung von Windows-Ereignisprotokollen für interne Aktivitäten und Änderungen, die außerhalb des Bereichs normaler Geschäftsaktivitäten liegen, können Sie kleine Ereignisse lokalisieren und verhindern, bevor sie zu eine große Katastrophe.

Compliance-Initiativen: Bereiten Sie sich auf das Schlimmste vor

Ihre Organisation kann mit der Einhaltung gesetzlicher Vorschriften konfrontiert sein oder auch nicht. Wenn Sie eine private Einheit sind, tun Sie dies höchstwahrscheinlich nicht. Dies sollte Sie jedoch nicht daran hindern, zu verstehen, was die regulatorischen Standards als Anforderungen definiert haben. Nutzung dieser Standards kann Ihnen eine Blaupause für Ihre eigenen internen Sicherheitspläne und Protokollverwaltungsstrategie liefern.

Wenn Ihre Organisation öffentlich ist, kann die Nichteinhaltung von Sarbanes-Oxley beispielsweise zu hohen Geldstrafen und gesetzlicher Haftung für die Beamten führen. Viele der Anforderungen der anderen gesetzlichen oder branchenspezifischen Initiativen für Sicherheit und Compliance, da sie sich auf die Protokollverwaltung beziehen, überschneiden sie sich mit denen von Sarbanes-Oxley. Infolgedessen orientieren sich alle öffentlichen und viele private Unternehmen an diesem Standard, um sich bei der Erstellung einer Protokollverwaltungsstrategie beraten zu lassen.

Eine kurze Überprüfung der folgenden Standards gibt Ihnen einen Überblick über jeden von ihnen und wie sie sich auf Ihre Protokollverwaltungsstrategie auswirken können.

Bewährte Methoden für die Ereignis- und Protokollverwaltung

Best Practice #1: Definieren der Überwachungsrichtlinienkategorien

Der Begriff Überwachungsrichtlinie bezieht sich im Microsoft Windows-Lexikon einfach auf die Arten von Sicherheitsereignissen, die in den Sicherheitsereignisprotokollen Ihrer Server und Arbeitsstationen aufgezeichnet werden sollen. Auf Microsoft Windows NT® Systemen müssen Sie die Überwachungsrichtlinie festlegen auf einzelnen Servern und Arbeitsstationen von Hand, aber in Windows 2000® oder Windows 2003® Active Directory® Domänen, bei aktivierter Gruppenrichtlinie können Sie einheitliche Überwachungsrichtlinieneinstellungen für Servergruppen oder die gesamte Domäne zuordnen. Für Eine Zusammenfassung der wichtigsten zu aktivierender Protokollierungskategorien finden Sie in der Tabelle "BASELINE ELM STRATEGY FOR SECURITY, COMPLIANCE AND AUDIT".

Best Practice #2: Automatische zentrale Konsolidierung aller Protokolldatensätze

Standardmäßig sind Windows-Ereignisprotokolle und Syslog-Dateien dezentralisiert, wobei jedes Netzwerkgerät oder System seine eigene Ereignisprotokollaktivität aufzeichnet. Um ein breiteres Bild der Trends im gesamten Netzwerk zu erhalten, müssen Administratoren mit Sicherheits- und Compliance-zentrierten Initiativen müssen einen Weg finden, diese Datensätze in einem zentralen Datenspeicher für eine vollständige Überwachung, Analyse und Berichterstattung zusammenzuführen. Die Erfassung und Speicherung von Protokolldaten ist von entscheidender Bedeutung, da einige Compliance-Standards eine Datenaufbewahrung von 7 Jahren oder mehr vorschreiben! Automatisierung kann hier wirklich helfen, weil es Zeit spart und die Zuverlässigkeit der Protokolldaten gewährleistet. Merken:

1. Wenn die archivierten Protokolldateien abgerufen werden, muss es sich um eine zuverlässige Kopie der Daten handeln – es kann keine Debatte über die Integrität der Daten selbst geben. Da das menschliche Element mit der Automatisierung entfernt wird, wird die Datenzuverlässigkeit erhöht.

In einem typischen Setup konfiguriert ein Administrator ein ELM-Tool, um Ereignisprotokollaufzeichnungen nachts (oder regelmäßig) von Servern und Arbeitsstationen in seinem Netzwerk zu sammeln. Dieser Prozess umfasst das Speichern und Löschen der aktiven Ereignisprotokolldateien aus jedem System, log entries aus den Logfiles in eine zentrale Datenbank (z.B. Microsoft SQL oder Oracle) einlesen und schließlich die gespeicherten Logfiles komprimieren und zentral auf einem sicheren Server speichern.

Die Aufbewahrung Ihrer Protokolldaten in zwei Formaten – als Datenbankdatensätze und als komprimierte Flat Files – bietet einen deutlichen Überwachungsvorteil. Ereignisprotokolldaten in Flat Files werden extrem gut komprimiert, oft bis zu 5 % der ursprünglichen Größe. Daher kostet es in Bezug auf die Speicherkosten sehr wenig, archivierte Protokolldaten für viele Jahre aufzubewahren, sollte ein Auditor sie jemals benötigen. Flat Files sind jedoch ein sehr schlechtes Medium für Analysen und Berichte, so dass ein aktiver Arbeitsdatensatz (oft 60 bis 90 Tage) in einer Datenbank ermöglicht ad hoc Reporting sowie geplante Reportings für aktuelle Ereignisse. Suchen Sie nach einem ELM-Tool, das einen einfachen Mechanismus für den schnellen Wiedereinfuhr älterer gespeicherter Protokolldateien in Ihre Datenbank bietet, falls sie jemals benötigt werden. Es Wir haben die Erfahrung gemacht, dass die meisten Mitarbeiterstunden, wenn sie einem Audit gegenüberstehen, einfach darauf ausgerichtet sind, flache Dateien zu jagen und zu versuchen, die gleichen Arten von Daten aus allen zu extrahieren. Daten in einer zentralen Datenbank zur Bereithalten reduziert das Potenzial für verlorene Stunden, wenn ein Auditor anklopft.

Best Practice # 3: Ereignisüberwachung - Echtzeitwarnungen und Benachrichtigungsrichtlinien

Die meisten Unternehmen verfügen über eine heterogene IT-Umgebung mit einem breiten Mix aus Betriebssystemen, Geräten und Systemen. Auch wenn Ihre Umgebung zu Windows-Desktop- und Serverbetriebsbetriebsservern tendiert, möchten Sie möglicherweise auch die Möglichkeit, mehr als nur die Windows-Ereignisprotokollüberwachung auszuwählen. Syslog-Unterstützung ist nicht nur für Router, Switches, IDS und Firewalls wichtig, sondern auch für UNIX- oder LINUX-Systeme.

Die meisten Softwareprodukte erfordern die Verwendung von Agenten, um protokolldateien in Echtzeit zu überwachen. Wenn ein Faktor Ihre Wahl einer Lösung beeinflusst, sollte dies der eine sein. Wenn Sie sich für eine agentenfreie Implementierung einer Überwachungslösung entscheiden können, tun Sie dies. Dies erspart Ihnen bei der ersten Implementierung, beim Wachstum Ihres Netzwerks und bei der laufenden Wartung Ihrer Überwachungslösung viele Kopfschmerzen.

Bei der Entwicklung eines Protokollüberwachungsplans hat jede Organisation unterschiedliche Regeln, welche Arten von Ereignissen sie überwachen muss. IT-Abteilungen konzentrieren sich häufig auf Sicherheitsereignisse als alleinigen Indikator für Probleme. Während der Überwachung des Sicherheitsereignisprotokolls andere Ereignisprotokolle können auch auf Probleme mit Anwendungen, Hardwareprobleme oder bösartige Software hinweisen. Alle überwachten Ereignisse sollten mindestens ihren Ursprungspunkt zurückverfolgenkönnen. Die "BASELINE ELM STRATEGY" DIE SIDEBAR-Tabelle FOR SECURITY, COMPLIANCE AND AUDIT" im obigen Abschnitt stellt den Startpunkt für Ihre Protokollüberwachungsimplementierung bereit.

Abhängig von Ihren Anforderungen und der Flexibilität der von Ihnen bereitgestellten ELM-Lösung sollten Sie eine Methodik für die kontinuierliche Überwachung definieren, die darauf basiert, wie häufig Sie Protokolle in Echtzeit auf interessante Ereignisse überprüfen möchten. Jeder Das definierte Ereignis wird in regelmäßigen Abständen abgefragt und generiert eine Warnung oder Benachrichtigung, wenn ein Eintrag von Interesse erkannt wird.

Die Anzahl der konfigurierten Ereignisse, die Anzahl der Zielsysteme und die Abfragehäufigkeit bestimmen die Menge der Bandbreite, die während eines Abfragezyklus verbraucht wird. Wenn Sie die Ereignisse von Interesse auf bestimmten Systemen, die Sie überwachen möchten, bereits kennen, konfigurieren Sie weg.  Wenn Sie Ihre Ereignisüberwachung zum ersten Mal einrichten, ist es möglicherweise besser, zunächst alle Ereignisse zu aktivieren und eine höhere Abfragefrequenz zu konfigurieren. Nachdem Sich Ihr Vertrautheitsgrad erhöht hat, können Sie die Zahl von Ereignissen und Verringerung der Abfragehäufigkeit.

Best Practice #4: Erstellen von Berichten für wichtige Stakeholder: Auditoren, Sicherheits- oder Compliance-Beauftragte und Managementteams

Reporting ist ein Bereich, dem Sie besondere Aufmerksamkeit schenken sollten. Es liefert Ihnen aussagekräftigen Daten zu Sicherheitstrends und beweist Compliance. Die Berichterstellung kann Ihnen dabei helfen, die Notwendigkeit zu untermauern, Sicherheitsrichtlinien basierend auf Ereignissen zu ändern, die sich daraus ergeben können. oder zu einer Gefährdung der Sicherheit geführt haben.

Jede VON Ihnen implementierte ELM-Lösung muss die folgenden Fragen beantworten:

• Welche Berichtsformate sind verfügbar?
• Wie viel Ihrer Arbeit bereits für Sie in vorgefertigten Ereignisprotokollberichten erledigt wurde, die mit dem Ereignis ausgeliefert werden
• Sind Sie an ein bestimmtes Format gebunden? Werden HTML und die Verfügbarkeit dieses HTML-Berichts für mehrere Benutzer eine Rolle spielen?
• Können kundenspezifische Filter leicht für die wiederholte Verwendung abgerufen werden?
• Aus welchen Datenquellen können Berichte generiert werden? Enthält es EVT, Text, Microsoft Access und ODBC?
• Ist die Lösung mit Ihrer Eventarchivierungslösung kompatibel?

Weitere Informationen zur Protokollverwaltung

• Log Management 101: Der Schlüssel zum Schutz digitaler Assets
• Podcast: Grundlagen der Protokollverwaltung - Was sollten Sie sammeln?
• So stärken Sie Ihre SIEM-Funktionen durch Die Nutzung des Protokollmanagements
• Verwenden von PowerShell zum Durchsuchen und Behandeln von Problemen mit Windows-Ereignisprotokollen