Hat jemand nicht autorisierte Änderungen an Ihren Active Directory-Richtlinien oder Zugriffssteuerungslisten (Access Control Lists, ACLs) für ein Verzeichnis auf einem Server vorgenommen, der geistiges Eigentum des Unternehmens enthält? Hat sich jemand unbefugten Zugriff auf Daten verschafft, die gesetzlich geregelt sind, wie z.B. als HIPAA? Versucht jemand, sich in Ihre internen Systeme zu hacken? Was ist, wenn Ihr Compliance-Beauftragter Sie nach SOX-zentrierten Berichten fragt?
Jeden Tag generieren Computernetzwerke auf der ganzen Welt Aufzeichnungen über die Ereignisse, die auftreten. Einige sind Routine. Andere sind Indikatoren für einen Rückgang des Netzwerkzustands oder versuchte Sicherheitsverletzungen. Protokolldateien enthalten eine Fülle von Informationen, um eine Die Exposition des Unternehmens gegenüber Eindringlingen, Malware, Schäden, Verlusten und rechtlichen Verpflichtungen. Protokolldaten müssen gesammelt, gespeichert, analysiert und überwacht werden, um regulatorische Compliance-Standards wie Sarbanes Oxley, Basel II, HIPAA, GLB, FISMA, PCI DSS, NISPOM. Dies ist eine gewaltige Aufgabe, da Protokolldateien aus vielen verschiedenen Quellen, in verschiedenen Formaten und in großen Mengen stammen und viele Unternehmen keine geeignete Protokollverwaltungsstrategie zur Überwachung und Sicherung haben. ihr Netzwerk.
Als Reaktion darauf werden in diesem Artikel allgemeine Anforderungen an das Ereignis- und Protokollmanagement (ELM) und bewährte Methoden erläutert, um das Potenzial für Sicherheitsverletzungen zu verringern und die Möglichkeit von Rechts- oder Compliance-Problemen zu verringern.
Jedes System in Ihrem Netzwerk generiert eine Art Protokolldatei. Tatsächlich wird für jedes Ereignis oder jede Transaktion, die auf einem Computer oder einer Hardware stattfindet, ein Protokolleintrag erstellt – stellen Sie sich das als Ihr "Journal of Record" vor. Microsoft-basiert Systeme generieren Windows-Ereignisprotokolldateien, und UNIX-basierte Server und Netzwerkgeräte verwenden das Systemprotokoll oder den Syslog-Standard. Webanwendungsserver wie Apache oder IIS sowie Load Balancer, Firewalls, Proxyserver oder Content Security-Appliances W3C/IIS-Protokolldateien generieren.
Die zentralisierte Protokollverwaltung sollte eine Schlüsselkomponente Ihrer Compliance-Initiativen sein, da Sie mit zentralisierten Protokollen Dateizugriff, nicht autorisierte Aktivitäten von Benutzern, Richtlinienänderungen und andere kritische Aktivitäten überwachen, überwachen und Berichte erstellen können. für Dateien oder Ordner, die proprietäre oder regulierte personenbezogene Daten wie Mitarbeiter-, Patienten- oder Finanzunterlagen enthalten. Eine zentralisierte Protokollverwaltungsstrategie sollte die Überwachung von Ereignisprotokollen, Syslog- und W3C-Protokollen umfassen. Und das ist der Schlüssel, weil Informationsverletzungen kommen gleichermaßen aus internen und externen Quellen. Beispielsweise geben Ihnen Windows-Ereignisprotokolle Einblick in potenziell schädliche Aktivitäten, die von verärgerten Mitarbeitern durchgeführt werden, während die Syslog-Verwaltung Ihnen die Kontrolle über Ihren Netzwerkperimeter.
Windows-basierte Systeme verfügen über mehrere verschiedene Ereignisprotokolle, die konsistent überwacht werden sollten. Von diesen Protokollen ist das Sicherheitsprotokoll das wichtigste. Es liefert wichtige Informationen darüber, wer im Netzwerk angemeldet ist und was sie tun. Sicherheit Protokolle sind für das Sicherheitspersonal wichtig, um zu verstehen, ob in der Sicherheitsimplementierung Schwachstellen bestehen.
Syslog ist ein Protokollmeldungsformat und Protokollübertragungsprotokoll, das von der Internet Engineering Task Force (IETF) in RFC-3164 mit Entwurfsverbesserungen in RFC-5424 als Standard definiert wurde. Netzwerkgeräte, UNIX- und Linux-Systeme sowie viele Software und Hardware Plattformen implementieren Syslog als Standardprotokollierungsformat und Mittel zum Übertragen und Sammeln dieser Protokolldateien in einem zentralen Protokollverwaltungs-Repository. Mithilfe von Syslog-Informationen können Sie sehr detaillierte Informationen über den Status eines Geräts erfassen. oder eine Reihe von Geräten. Die Informationen können sortiert und analysiert werden, um atypisches Verhalten durch Änderungen in Betriebs- oder Leistungsmustern zu sehen. Diese Änderungen können auf ein einzelnes oder mehrere Probleme hinweisen. Die Speicherung von Syslog-Protokolldaten kann auch unterstützen Compliance-Bemühungen durch die Bereitstellung von Überwachungsprotokollen, um alle Ereignisse zu verfolgen, die die Netzwerkzuverlässigkeit und den Schutz von Daten beeinträchtigen können. Dies ist wichtig, da es den Prüfern die Kontrolle über alle Informationen beweist.
In ähnlicher Weise liefern W3C-Protokolle auch Informationen über Benutzer- und Serveraktivitäten. Auch diese Überwachungsprotokolle sollten überwacht werden, da sie wertvolle Informationen liefern, anhand derer Sie nicht autorisierte Kompromittierungsversuche, z. B. Ihren Webserver, identifizieren können. IIS-Protokolldateien sind ein festes (d. h. es kann nicht angepasst werden) ASCII-Format, das mehr Informationen als andere Protokolldateiformate auftakt, einschließlich grundlegender Elemente wie ip-Adresse des Benutzers, Benutzername, Anforderungsdatum und -uhrzeit, Dienststatuscode, und Anzahl der empfangenen Bytes. Darüber hinaus enthält das IIS-Protokolldateiformat detaillierte Elemente wie die verstrichene Zeit, die Anzahl der gesendeten Bytes, die Aktion und die Zieldatei.
Durch die Bereitstellung einer zentralisierten Protokollverwaltungslösung können Sie die häufig überwältigende Menge an Protokollinformationen, die von Ihren Systemen generiert werden, problemlos verwalten. Der Echtzeitzugriff auf Protokolldaten ermöglicht es Ihnen, diese eine "Nadel im Heuhaufen" zu filtern und zu lokalisieren Ereignis, das die Ursache für eine Sicherheitsverletzung sein könnte.
Jeden Tag produzieren Ihre Server und andere Netzwerkgeräte 10 von Tausenden von Protokolleinträgen. Tatsächlich sammelt das durchschnittliche Unternehmen bis zu 4 GB Protokolldaten pro Tagan. Über 95% der Daten in den Logfiles bestehen aus detaillierten Einträge, die jedes erfolgreiche Ereignis oder jede Transaktion aufzeichnen, die auf dem System stattfindet. Zum Beispiel; Ein Serverabsturz, Benutzeranmeldungen, Starten und Stoppen von Anwendungen und Dateizugriff.
Viele Administratoren sind überrascht zu erfahren, dass "einfache" Protokolldateien zu einer so großen Datenmenge führen können, die gesammelt und dann gespeichert wird. Es ist die Wahrnehmung dieser meist routinemäßigen Daten, die im Mittelpunkt der Versäumnis, die ständig generierten Protokolldaten zu erfassen, zu speichern und zu analysieren. Sie sollten niemals die Bedeutung der Daten in diesen Dateien unterschätzen.
Beim manuellen Sammeln und Überprüfen von Protokolldaten müssen Sie sich darüber im Klaren sein, dass je mehr Server Protokolldaten erstellen, desto mehr Erkennungs- und Lokalisierungspotenzial für ein sicherheitsbezogenes oder Compliance-Problem nimmt im Laufe der Zeit exponentiell ab.
Sicherheit steht bei der IT-Strategie eines Unternehmens jeder Größe immer im Vordergrund. Normalerweise konzentriert sich diese Strategie auf den Umkreis des Netzwerks, um unbefugten Zugriff oder Angriffe von böswilligen Parteien zu verhindern, die nicht mit der Organisation verbunden sind.
Während externe Sicherheit unerlässlich ist, was ist mit den internen Aspekten? Ein nosy Mitarbeiter, der vertrauliche Finanzdaten des Unternehmens einsehen möchte und seine Zugriffsberechtigungen ändert? Oder ein verärgerter Mitarbeiter, der eine Hintertür zu einem Schlüsselserver geschaffen hat und ist dabei, Terabyte an Kundendaten zu löschen? Obwohl dies extreme Fälle sein können, sind Sie bereit, diesen möglichen Ereignissen entgegenzuwirken? Das Potenzial für eine Sicherheitsverletzung ist von einer internen Quelle genauso wahrscheinlich wie von außen. In Tatsache, es kann sogar höher sein. Wie wir in der Zusammenfassung besprochen haben, ist das Haftungspotenzial beträchtlich, wenn eine unbefugte Person auf Daten zugreift, die durch einen Gesetzgebungsakt geschützt gelten.
Durch die Etablierung einer umfassenden ELM-Strategie zur Sicherheitsüberwachung von Windows-Ereignisprotokollen für interne Aktivitäten und Änderungen, die außerhalb des Bereichs normaler Geschäftsaktivitäten liegen, können Sie kleine Ereignisse lokalisieren und verhindern, bevor sie zu eine große Katastrophe.
Ihre Organisation kann mit der Einhaltung gesetzlicher Vorschriften konfrontiert sein oder auch nicht. Wenn Sie eine private Einheit sind, tun Sie dies höchstwahrscheinlich nicht. Dies sollte Sie jedoch nicht daran hindern, zu verstehen, was die regulatorischen Standards als Anforderungen definiert haben. Nutzung dieser Standards kann Ihnen eine Blaupause für Ihre eigenen internen Sicherheitspläne und Protokollverwaltungsstrategie liefern.
Wenn Ihre Organisation öffentlich ist, kann die Nichteinhaltung von Sarbanes-Oxley beispielsweise zu hohen Geldstrafen und gesetzlicher Haftung für die Beamten führen. Viele der Anforderungen der anderen gesetzlichen oder branchenspezifischen Initiativen für Sicherheit und Compliance, da sie sich auf die Protokollverwaltung beziehen, überschneiden sie sich mit denen von Sarbanes-Oxley. Infolgedessen orientieren sich alle öffentlichen und viele private Unternehmen an diesem Standard, um sich bei der Erstellung einer Protokollverwaltungsstrategie beraten zu lassen.
Eine kurze Überprüfung der folgenden Standards gibt Ihnen einen Überblick über jeden von ihnen und wie sie sich auf Ihre Protokollverwaltungsstrategie auswirken können.
In Sarbanes-Oxley ist der Ausdruck "interne Kontrollen" in Abschnitt 404 des Gesetzes von zentraler Bedeutung für die Compliance-Bemühungen.
Die Jahresberichte der Aktiengesellschaften müssen Folgendes enthalten:[...] einen internen Kontrollbericht, der –
Mehrere Missverständnisse konzentrieren sich darauf, wer und was von diesen Anforderungen betroffen ist. Erstens gilt Sarbanes-Oxley nur für börsennotierte Organisationen mit einem Wert von mehr als 75 Millionen US-Dollar oder damit für private Unternehmen, die von öffentlichen Unternehmen erworben werden sollen. Sekunde Es sind nicht nur die Finanzdaten selbst oder die Berichterstattung über diese Daten, mit denen Sarbanes-Oxley befasst ist, wenn es sich um "Versagen der Kontrollstruktur" handelt; dies wurde sehr weit ausgelegt, um fast alles einzubeziehen dies könnte sogar die Zuverlässigkeit dieser Daten beeinträchtigen.
Aufgrund der inhärenten Unterschiede in Netzwerkkonfigurationen, Geschäftsmodellen, Märkten und den Präferenzen der Prüfer sollten die Best Practices, die später in diesem Dokument vorgeschlagen werden, als Ausgangspunkt betrachtet werden. Die untere Seitenleiste synthetisiert einige der ELM-Anforderungen, die in Ihre Audit- und Compliance-Strategien aufgenommen werden sollten.
Während sich diese Vorschläge auf Sarbanes-Oxley konzentrieren, können sie auch verwendet werden, um die Anforderungen von Basel II, GLBA, HIPAA, PCI und anderen Bemühungen zu erfüllen.
In den meisten Fällen wird dies Teil einer größeren Compliance-Strategie sein, also wenden Sie sich an Ihre Audit-Spezialisten, um weitere Details zu erhalten, die für die Compliance in Ihrer spezifischen Branche relevant sind.
Erfahren Sie mehr über unsere Protokollverwaltungstools.
Weitere InformationenDer Begriff Überwachungsrichtlinie bezieht sich im Microsoft Windows-Lexikon einfach auf die Arten von Sicherheitsereignissen, die in den Sicherheitsereignisprotokollen Ihrer Server und Arbeitsstationen aufgezeichnet werden sollen. Auf Microsoft Windows NT® Systemen müssen Sie die Überwachungsrichtlinie festlegen auf einzelnen Servern und Arbeitsstationen von Hand, aber in Windows 2000® oder Windows 2003® Active Directory® Domänen, bei aktivierter Gruppenrichtlinie können Sie einheitliche Überwachungsrichtlinieneinstellungen für Servergruppen oder die gesamte Domäne zuordnen. Für Eine Zusammenfassung der wichtigsten zu aktivierender Protokollierungskategorien finden Sie in der Tabelle "BASELINE ELM STRATEGY FOR SECURITY, COMPLIANCE AND AUDIT".
Standardmäßig sind Windows-Ereignisprotokolle und Syslog-Dateien dezentralisiert, wobei jedes Netzwerkgerät oder System seine eigene Ereignisprotokollaktivität aufzeichnet. Um ein breiteres Bild der Trends im gesamten Netzwerk zu erhalten, müssen Administratoren mit Sicherheits- und Compliance-zentrierten Initiativen müssen einen Weg finden, diese Datensätze in einem zentralen Datenspeicher für eine vollständige Überwachung, Analyse und Berichterstattung zusammenzuführen. Die Erfassung und Speicherung von Protokolldaten ist von entscheidender Bedeutung, da einige Compliance-Standards eine Datenaufbewahrung von 7 Jahren oder mehr vorschreiben! Automatisierung kann hier wirklich helfen, weil es Zeit spart und die Zuverlässigkeit der Protokolldaten gewährleistet. Merken:
In einem typischen Setup konfiguriert ein Administrator ein ELM-Tool, um Ereignisprotokollaufzeichnungen nachts (oder regelmäßig) von Servern und Arbeitsstationen in seinem Netzwerk zu sammeln. Dieser Prozess umfasst das Speichern und Löschen der aktiven Ereignisprotokolldateien aus jedem System, log entries aus den Logfiles in eine zentrale Datenbank (z.B. Microsoft SQL oder Oracle) einlesen und schließlich die gespeicherten Logfiles komprimieren und zentral auf einem sicheren Server speichern.
Die Aufbewahrung Ihrer Protokolldaten in zwei Formaten – als Datenbankdatensätze und als komprimierte Flat Files – bietet einen deutlichen Überwachungsvorteil. Ereignisprotokolldaten in Flat Files werden extrem gut komprimiert, oft bis zu 5 % der ursprünglichen Größe. Daher kostet es in Bezug auf die Speicherkosten sehr wenig, archivierte Protokolldaten für viele Jahre aufzubewahren, sollte ein Auditor sie jemals benötigen. Flat Files sind jedoch ein sehr schlechtes Medium für Analysen und Berichte, so dass ein aktiver Arbeitsdatensatz (oft 60 bis 90 Tage) in einer Datenbank ermöglicht ad hoc Reporting sowie geplante Reportings für aktuelle Ereignisse. Suchen Sie nach einem ELM-Tool, das einen einfachen Mechanismus für den schnellen Wiedereinfuhr älterer gespeicherter Protokolldateien in Ihre Datenbank bietet, falls sie jemals benötigt werden. Es Wir haben die Erfahrung gemacht, dass die meisten Mitarbeiterstunden, wenn sie einem Audit gegenüberstehen, einfach darauf ausgerichtet sind, flache Dateien zu jagen und zu versuchen, die gleichen Arten von Daten aus allen zu extrahieren. Daten in einer zentralen Datenbank zur Bereithalten reduziert das Potenzial für verlorene Stunden, wenn ein Auditor anklopft.
Die meisten Unternehmen verfügen über eine heterogene IT-Umgebung mit einem breiten Mix aus Betriebssystemen, Geräten und Systemen. Auch wenn Ihre Umgebung zu Windows-Desktop- und Serverbetriebsbetriebsservern tendiert, möchten Sie möglicherweise auch die Möglichkeit, mehr als nur die Windows-Ereignisprotokollüberwachung auszuwählen. Syslog-Unterstützung ist nicht nur für Router, Switches, IDS und Firewalls wichtig, sondern auch für UNIX- oder LINUX-Systeme.
Die meisten Softwareprodukte erfordern die Verwendung von Agenten, um protokolldateien in Echtzeit zu überwachen. Wenn ein Faktor Ihre Wahl einer Lösung beeinflusst, sollte dies der eine sein. Wenn Sie sich für eine agentenfreie Implementierung einer Überwachungslösung entscheiden können, tun Sie dies. Dies erspart Ihnen bei der ersten Implementierung, beim Wachstum Ihres Netzwerks und bei der laufenden Wartung Ihrer Überwachungslösung viele Kopfschmerzen.
Bei der Entwicklung eines Protokollüberwachungsplans hat jede Organisation unterschiedliche Regeln, welche Arten von Ereignissen sie überwachen muss. IT-Abteilungen konzentrieren sich häufig auf Sicherheitsereignisse als alleinigen Indikator für Probleme. Während der Überwachung des Sicherheitsereignisprotokolls andere Ereignisprotokolle können auch auf Probleme mit Anwendungen, Hardwareprobleme oder bösartige Software hinweisen. Alle überwachten Ereignisse sollten mindestens ihren Ursprungspunkt zurückverfolgenkönnen. Die "BASELINE ELM STRATEGY" DIE SIDEBAR-Tabelle FOR SECURITY, COMPLIANCE AND AUDIT" im obigen Abschnitt stellt den Startpunkt für Ihre Protokollüberwachungsimplementierung bereit.
Abhängig von Ihren Anforderungen und der Flexibilität der von Ihnen bereitgestellten ELM-Lösung sollten Sie eine Methodik für die kontinuierliche Überwachung definieren, die darauf basiert, wie häufig Sie Protokolle in Echtzeit auf interessante Ereignisse überprüfen möchten. Jeder Das definierte Ereignis wird in regelmäßigen Abständen abgefragt und generiert eine Warnung oder Benachrichtigung, wenn ein Eintrag von Interesse erkannt wird.
Die Anzahl der konfigurierten Ereignisse, die Anzahl der Zielsysteme und die Abfragehäufigkeit bestimmen die Menge der Bandbreite, die während eines Abfragezyklus verbraucht wird. Wenn Sie die Ereignisse von Interesse auf bestimmten Systemen, die Sie überwachen möchten, bereits kennen, konfigurieren Sie weg. Wenn Sie Ihre Ereignisüberwachung zum ersten Mal einrichten, ist es möglicherweise besser, zunächst alle Ereignisse zu aktivieren und eine höhere Abfragefrequenz zu konfigurieren. Nachdem Sich Ihr Vertrautheitsgrad erhöht hat, können Sie die Zahl von Ereignissen und Verringerung der Abfragehäufigkeit.
Reporting ist ein Bereich, dem Sie besondere Aufmerksamkeit schenken sollten. Es liefert Ihnen aussagekräftigen Daten zu Sicherheitstrends und beweist Compliance. Die Berichterstellung kann Ihnen dabei helfen, die Notwendigkeit zu untermauern, Sicherheitsrichtlinien basierend auf Ereignissen zu ändern, die sich daraus ergeben können. oder zu einer Gefährdung der Sicherheit geführt haben.
Jede VON Ihnen implementierte ELM-Lösung muss die folgenden Fragen beantworten:
Starten Sie Ihre Kostenfreie Testversion von WhatsUp Gold