Meilleures pratiques pour la journalisation des événements et la détection des menaces

Meilleures pratiques en matière de journalisation des événements pour la mitigation des menaces cyber Ce guide définit les meilleures pratiques en matière de journalisation des événements afin d'améliorer la sécurité cyber et la visibilité du réseau, en abordant les défis tels que les techniques de "vivre sur le terrain" utilisées par les acteurs malveillants. Quatre facteurs clés pour une journalisation efficace - Politique de journalisation des événements approuvée par l'entreprise : Établit une approche cohérente à la journalisation dans tous les environnements. - Accès centralisé aux journaux d'événements et corrélation : Permet une surveillance et une analyse efficaces des journaux d'événements. - Stockage sécurisé et intégrité des journaux d'événements : Préserve l'intégrité et l'accessibilité des journaux d'événements. - Stratégie de détection pour les menaces pertinentes : Cible la journalisation sur l'identification des activités malveillantes et des indicateurs de compromission. Qualité des journaux d'événements - Les journaux d'événements de haute qualité fournissent des informations détaillées sur les événements de sécurité, aidant à l'identification des incidents et à la détection des menaces. - Les considérations pertinentes pour la détection LOTL incluent la capture de journaux sur des commandes et des outils spécifiques utilisés par les acteurs malveillants. Détails des journaux d'événements capturés - Les journaux d'événements doivent contenir suffisamment d'informations pour que les défenseurs du réseau puissent enquêter et répondre aux incidents, y compris les timestamps, les types d'événements et les identifiants de système. - L'utilisation de paires clé-valeur pour la mise en forme des données simplifie l'analyse des journaux. Considérations sur la technologie opérationnelle - Les appareils OT ont souvent des capacités de journalisation limitées, nécessitant des solutions supplémentaires ou des communications de journalisation hors bande. Consistance et synchronisation - Les formats de journalisation cohérents et les timestamps synchronisés entre les systèmes facilitent la recherche et la corrélation des journaux. - Les sources de temps précises aident à identifier les liens entre les événements. Ressources supplémentaires - Le manuel de sécurité de l'information de l'ASD : Fournit des lignes directrices pour l'enregistrement des journaux d'événements. - La directive M-21-31 du CISA : Décrit les priorités pour la collecte des journaux. - Le guide de sécurité OT du NIST : Aborde les considérations spécifiques à la journalisation des événements OT.