微信订阅号二维码
本栏目热门内容
  • 微软安全合规工具包(SCT...
  • SELINUX介绍连载#3:什么...
  • Windows 系统安全基线及软...
  • SELINUX介绍连载#2:模式...
  • 详细了解微软安全合规工具...
  • CIS关键安全控制措施#7持...
  • 从甲方角度介绍“CIS互联...
  • CIS关键安全控制措施#8审...
  • 关于OpenSCAP/SCAP安全策...
  • SELINUX介绍连载#1:基础...
  • CIS关键安全控制措施#9电...
  • 安装RHEL/CentOS时如何选...
  • CIS关键安全控制措施#5账...
  • CIS关键安全控制措施#2软...
  • CIS关键安全控制措施#6访...
  • 什么是网络行为异常检测(...
  • SELINUX介绍连载#4:策略...
  • CIS关键安全控制措施#12网...
  • CIS关键安全控制措施#11数...
  • 网络行为异常检测(NBAD)...
  • 如何使用OpenSCAP检查工具...
  • CIS关键安全控制措施#14安...
  • CIS关键安全控制措施#10防...
  • CIS关键安全控制措施#1总...
  • CIS关键安全控制措施#15服...
  • CIS关键安全控制措施#16应...
  • CIS关键安全控制措施#4企...
  • CIS关键安全控制措施#18渗...
  • CIS关键安全控制措施#16应...
  • 更多...

    如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之八:审计日志管理
    作者:Sender  来源:WaveCN.com  发布日期:2022-04-07  最后修改日期:2022-04-07

      CIS关键安全控制措施集(CIS Critical Security Controls,CIS Controls)系列介绍文章,本期介绍控制措施08:审计日志管理

      控制措施08:审计日志管理

      包含有12个细项,IG1前3项,IG2前11项,IG3全12项。

      这12项分别是:

      8.1 建立和维护一套审计日志管理流程。建立并维护定义企业日志记录需求的审计日志管理流程。至少要实现对企业资产审计日志的收集、审查和保留的处理。需要每年,或在企业产生可能影响此安全措施的企业变革时,审查和更新文档。

      8.2 收集审计日志。确保根据企业的审计日志管理流程,已覆盖全部企业资产去启用了日志记录。

      8.3 确保有足够的审计日志存储空间。存储审计日志的设备应保持足够的存储空间,以符合企业的审计日志管理过程。注意要应对突发大量日志时能存储。

      8.4 标准化时间同步。在受支持的所有企业资产中配置至少两个同步的时间源。

      8.5 收集详细的审计日志。为包含敏感数据的企业资产配置详细的审计日志记录。包括事件源、日期、用户名、时间戳、源地址、目标地址和其他可能有助于执法调查的有用元素。

      8.6 收集DNS查询审计日志。在具备条件时,收集企业资产上产生的DNS查询审计日志。这可以通过在网络出口部署安全设备实现,也可以通过设置内部DNS服务器、记录查询请求日志去实现。

      8.7 收集URL请求审计日志。在具备条件时,收集企业资产上产生的URL请求审计日志。这一般都是通过在网络出口部署专门的安全设备去实现。

      8.8 收集命令行审计日志。收集命令行审计日志。例如从PowerShell®、BASH™和远程管理终端收集审计日志。

      8.9 集中收集和保留审计日志。尽可能把企业资产所产生的审计日志集中起来保留。

      8.10 保留审计日志。保留跨企业资产的审计日志的时间至少为90天。

      8.11 进行审计日志审查。通过审查去发现可能表明潜在威胁的异常或异常事件。至少每周一次或更频繁地进行。

      8.12 收集服务商的日志。如果服务商支持的话,也应收集其提供的服务(设备或软件)所产生的日志。例如收集身份验证和授权事件、数据创建和处理事件以及用户管理事件。

      控制措施08:审计日志管理,要求企业收集、告警、复查和保留可以帮助检测、发现或从攻击中恢复的事件的审计日志。

      大多数企业资产和软件都提供了日志记录功能。应该激活这些日志记录功能,并将日志发送到集中的日志记录服务器(俗称日志机)。防火墙、代理和远程访问手段,比如VPN、拨号接入等,只要是有益的,就应该配置详细的日志记录。另外,在需要进行事件调查时,保留日志记录数据也很重要。

      此外,当用户尝试在不具备授权时访问资源,所有企业资产都被配置为能同时生成访问控制日志。为了评估这种日志是否存在,企业应定期扫描其日志,并将其与CIS控制措施集01中定义的企业资产库存清单进行比较,以确保每个被管理的、已连接到网络的资产都能定期产生日志。

      开源的集中日志管理软件比较多,包括有syslog-ng、logzilla等。

    https://www.syslog-ng.com/

    https://www.logzilla.net/

    本栏目相关
  •  2022-03-18 微软安全合规工具包(SCT)操作实战
  •  2022-03-09 网络安全等级保护之SELINUX介绍连载之三(什么是策略)
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-03-08 网络安全等级保护之SELINUX介绍连载之二(模式切换篇)
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  •  2022-04-06 如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之七:持续的漏洞管理
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-04-07 如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之八:审计日志管理
  •  2022-03-13 关于OpenSCAP/SCAP安全策略的介绍