如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之八:审计日志管理

作者:Sender Su  来源:原创内容  发布日期:2022-04-07  最后修改日期:2022-04-07

  CIS关键安全控制措施集(CIS Critical Security Controls,CIS Controls)系列介绍文章,本期介绍控制措施08:审计日志管理

article banner

笔者:国际认证信息系统审计师、软考系统分析师

  控制措施08:审计日志管理

  包含有12个细项,IG1前3项,IG2前11项,IG3全12项。

  这12项分别是:

  8.1 建立和维护一套审计日志管理流程。建立并维护定义企业日志记录需求的审计日志管理流程。至少要实现对企业资产审计日志的收集、审查和保留的处理。需要每年,或在企业产生可能影响此安全措施的企业变革时,审查和更新文档。

  8.2 收集审计日志。确保根据企业的审计日志管理流程,已覆盖全部企业资产去启用了日志记录。

  8.3 确保有足够的审计日志存储空间。存储审计日志的设备应保持足够的存储空间,以符合企业的审计日志管理过程。注意要应对突发大量日志时能存储。

  8.4 标准化时间同步。在受支持的所有企业资产中配置至少两个同步的时间源。

  8.5 收集详细的审计日志。为包含敏感数据的企业资产配置详细的审计日志记录。包括事件源、日期、用户名、时间戳、源地址、目标地址和其他可能有助于执法调查的有用元素。

  8.6 收集DNS查询审计日志。在具备条件时,收集企业资产上产生的DNS查询审计日志。这可以通过在网络出口部署安全设备实现,也可以通过设置内部DNS服务器、记录查询请求日志去实现。

  8.7 收集URL请求审计日志。在具备条件时,收集企业资产上产生的URL请求审计日志。这一般都是通过在网络出口部署专门的安全设备去实现。

  8.8 收集命令行审计日志。收集命令行审计日志。例如从PowerShell®、BASH™和远程管理终端收集审计日志。

  8.9 集中收集和保留审计日志。尽可能把企业资产所产生的审计日志集中起来保留。

  8.10 保留审计日志。保留跨企业资产的审计日志的时间至少为90天。

  8.11 进行审计日志审查。通过审查去发现可能表明潜在威胁的异常或异常事件。至少每周一次或更频繁地进行。

  8.12 收集服务商的日志。如果服务商支持的话,也应收集其提供的服务(设备或软件)所产生的日志。例如收集身份验证和授权事件、数据创建和处理事件以及用户管理事件。

  控制措施08:审计日志管理,要求企业收集、告警、复查和保留可以帮助检测、发现或从攻击中恢复的事件的审计日志。

  大多数企业资产和软件都提供了日志记录功能。应该激活这些日志记录功能,并将日志发送到集中的日志记录服务器(俗称日志机)。防火墙、代理和远程访问手段,比如VPN、拨号接入等,只要是有益的,就应该配置详细的日志记录。另外,在需要进行事件调查时,保留日志记录数据也很重要。

  此外,当用户尝试在不具备授权时访问资源,所有企业资产都被配置为能同时生成访问控制日志。为了评估这种日志是否存在,企业应定期扫描其日志,并将其与CIS控制措施集01中定义的企业资产库存清单进行比较,以确保每个被管理的、已连接到网络的资产都能定期产生日志。

  开源的集中日志管理软件比较多,包括有syslog-ng、logzilla等。

https://www.syslog-ng.com/

https://www.logzilla.net/

本栏目相关
  •  2024-07-06 解读即将实施的 GB/T 43698-2024 《网络安全技术 软件供应链安全要求》(上篇)
  •  2022-05-11 CIS-CAT 配置评估工具介绍及操作实践
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-03-11 安装RHEL/CentOS时如何选择配置安全策略?
  •  2022-08-28 网络攻防中的色彩象征
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  •  2022-03-28 如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之一:总览
  •  2023-01-06 MSSQL数据库自动备份和自动复制转移备份
  • 本站微信订阅号:

    微信订阅号二维码

    本页网址二维码: