RSS CISA Советы по кибербезопасности
Подписаться
Лучшие практики для ведения журнала событий и обнаружения угроз
Лучшие практики ведения журнала событий для противодействия киберугрозамЭто руководство определяет лучшие практики ведения журнала событий для улучшения кибербезопасности и видимости сети, решая задачи, связанные с техниками "живя на земле", используемыми злоумышленниками.Четыре ключевых фактора для эффективного ведения журнала- Политика ведения журнала событий, одобренная предприятием: Устанавливает единый подход к ведению журнала в разных средах.
- Централизированный доступ к журналу событий и корреляция: Позволяют эффективно мониторировать и анализировать журналы событий.
- Безопасное хранение и целостность журнала событий: Сохраняет целостность и доступность журнала событий.
- Стратегия обнаружения соответствующих угроз: Ориентирует ведение журнала на выявление злонамеренных действий и индикаторов компрометации.Качество журнала событий- Качественные журналы предоставляют подробную информацию о событиях безопасности, помогая в выявлении инцидентов и обнаружении угроз.
- Релевантные соображения для обнаружения LOTL включают в себя захват журнала на конкретные команды и инструменты, используемые злоумышленниками.Содержимое захваченных журналов событий- Журналы должны содержать достаточную информацию для того, чтобы защитники сети могли расследовать и реагировать на инциденты, включая отметки времени, типы событий и идентификаторы системы.
- Использование пар "ключ-значение" для форматирования данных упрощает анализ журнала.Соображения по технологиям оперативного управления- Устройства OT часто имеют ограниченные возможности ведения журнала, требующие дополнительных решений или вне-каналов связи для передачи журнала.Согласованность и синхронизация- Согласованность форматов журнала и отметок времени между системами облегчает поиск и корреляцию журнала.
- Точные источники времени помогают в идентификации связей между событиями.Дополнительные ресурсы- Руководство ASD по информационной безопасности: Предоставляет рекомендации по ведению журнала событий.
- Руководство CISA M-21-31: Определяет приоритеты для сбора журнала.
- Руководство NIST по безопасности OT: Охватывает особенности ведения журнала событий для OT.