如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之八:审计日志管理
CIS关键安全控制措施集(CIS Critical Security Controls,CIS Controls)系列介绍文章,本期介绍控制措施08:审计日志管理
笔者:国际认证信息系统审计师、软考系统分析师
控制措施08:审计日志管理
包含有12个细项,IG1前3项,IG2前11项,IG3全12项。
这12项分别是:
8.1 建立和维护一套审计日志管理流程。建立并维护定义企业日志记录需求的审计日志管理流程。至少要实现对企业资产审计日志的收集、审查和保留的处理。需要每年,或在企业产生可能影响此安全措施的企业变革时,审查和更新文档。
8.2 收集审计日志。确保根据企业的审计日志管理流程,已覆盖全部企业资产去启用了日志记录。
8.3 确保有足够的审计日志存储空间。存储审计日志的设备应保持足够的存储空间,以符合企业的审计日志管理过程。注意要应对突发大量日志时能存储。
8.4 标准化时间同步。在受支持的所有企业资产中配置至少两个同步的时间源。
8.5 收集详细的审计日志。为包含敏感数据的企业资产配置详细的审计日志记录。包括事件源、日期、用户名、时间戳、源地址、目标地址和其他可能有助于执法调查的有用元素。
8.6 收集DNS查询审计日志。在具备条件时,收集企业资产上产生的DNS查询审计日志。这可以通过在网络出口部署安全设备实现,也可以通过设置内部DNS服务器、记录查询请求日志去实现。
8.7 收集URL请求审计日志。在具备条件时,收集企业资产上产生的URL请求审计日志。这一般都是通过在网络出口部署专门的安全设备去实现。
8.8 收集命令行审计日志。收集命令行审计日志。例如从PowerShell®、BASH™和远程管理终端收集审计日志。
8.9 集中收集和保留审计日志。尽可能把企业资产所产生的审计日志集中起来保留。
8.10 保留审计日志。保留跨企业资产的审计日志的时间至少为90天。
8.11 进行审计日志审查。通过审查去发现可能表明潜在威胁的异常或异常事件。至少每周一次或更频繁地进行。
8.12 收集服务商的日志。如果服务商支持的话,也应收集其提供的服务(设备或软件)所产生的日志。例如收集身份验证和授权事件、数据创建和处理事件以及用户管理事件。
控制措施08:审计日志管理,要求企业收集、告警、复查和保留可以帮助检测、发现或从攻击中恢复的事件的审计日志。
大多数企业资产和软件都提供了日志记录功能。应该激活这些日志记录功能,并将日志发送到集中的日志记录服务器(俗称日志机)。防火墙、代理和远程访问手段,比如VPN、拨号接入等,只要是有益的,就应该配置详细的日志记录。另外,在需要进行事件调查时,保留日志记录数据也很重要。
此外,当用户尝试在不具备授权时访问资源,所有企业资产都被配置为能同时生成访问控制日志。为了评估这种日志是否存在,企业应定期扫描其日志,并将其与CIS控制措施集01中定义的企业资产库存清单进行比较,以确保每个被管理的、已连接到网络的资产都能定期产生日志。
开源的集中日志管理软件比较多,包括有syslog-ng、logzilla等。
本页网址二维码: