Лучшие практики для ведения журнала событий и обнаружения угроз

Лучшие практики ведения журнала событий для противодействия киберугрозам Это руководство определяет лучшие практики ведения журнала событий для улучшения кибербезопасности и видимости сети, решая задачи, связанные с техниками "живя на земле", используемыми злоумышленниками. Четыре ключевых фактора для эффективного ведения журнала - Политика ведения журнала событий, одобренная предприятием: Устанавливает единый подход к ведению журнала в разных средах. - Централизированный доступ к журналу событий и корреляция: Позволяют эффективно мониторировать и анализировать журналы событий. - Безопасное хранение и целостность журнала событий: Сохраняет целостность и доступность журнала событий. - Стратегия обнаружения соответствующих угроз: Ориентирует ведение журнала на выявление злонамеренных действий и индикаторов компрометации. Качество журнала событий - Качественные журналы предоставляют подробную информацию о событиях безопасности, помогая в выявлении инцидентов и обнаружении угроз. - Релевантные соображения для обнаружения LOTL включают в себя захват журнала на конкретные команды и инструменты, используемые злоумышленниками. Содержимое захваченных журналов событий - Журналы должны содержать достаточную информацию для того, чтобы защитники сети могли расследовать и реагировать на инциденты, включая отметки времени, типы событий и идентификаторы системы. - Использование пар "ключ-значение" для форматирования данных упрощает анализ журнала. Соображения по технологиям оперативного управления - Устройства OT часто имеют ограниченные возможности ведения журнала, требующие дополнительных решений или вне-каналов связи для передачи журнала. Согласованность и синхронизация - Согласованность форматов журнала и отметок времени между системами облегчает поиск и корреляцию журнала. - Точные источники времени помогают в идентификации связей между событиями. Дополнительные ресурсы - Руководство ASD по информационной безопасности: Предоставляет рекомендации по ведению журнала событий. - Руководство CISA M-21-31: Определяет приоритеты для сбора журнала. - Руководство NIST по безопасности OT: Охватывает особенности ведения журнала событий для OT.