Quali dati devono essere registrati?

Per ampliare le raccomandazioni di Rory, sei davvero una novità per chiederti quale sia il driver alla base della registrazione e quali informazioni sono necessarie per raggiungere questi obiettivi.

Ad esempio, hai bisogno di attribuzione utente? Se è così, allora probabilmente hai bisogno di

• Nome utente
• Timestamp
• Source IP
• OTTIENE stringa ed eventualmente variabili POST
• ID sessione
• Informazioni sui cookie (scadenze, gettoni se appropriati, cioccolato / zucchero / senza glutine, ecc.)

Stai cercando tentativi di accesso non autorizzati?

• Timestamp
• Source IP
• Azione eseguita (login, query di dati, ecc.)
• Informazioni correlate all'azione, (nome utente, stringa di query, ecc.)

Avete politiche / contrattuali / normative / ecc. che richiedono la ricostruzione di una sessione completa? Bene, questo è molto più difficile e richiederà ogni tipo di dati spaventosi su ogni richiesta. Ciò richiederà probabilmente un'integrazione profonda delle app e probabilmente avrà bisogno di cose come tracce di stack, dump variabili, catture di pacchetti, ecc.

In realtà hai bisogno di guardare al contrario - a cosa ti serve la registrazione? Questo dovrebbe guidare la tua decisione su cosa registrare.

• Stai verificando comportamenti sospetti da un IP o da un intervallo di IP?
• Stai provando a monitorare le statistiche sull'utilizzo o sul rendimento?
• Devi essere in grado di aiutare i tuoi utenti con la loro sessione se qualcosa va storto?
• Hai bisogno di lavorare all'interno di un quadro normativo che specifica la gestione dei dati?

ecc.

C'è sicuramente un valore nella registrazione delle intestazioni HTTP. Esattamente quelli da registrare variano molto a seconda dell'applicazione Web specifica.

Dai uno sguardo al foglio cheat di registrazione OWASP che è particolarmente adatto allo sviluppo web. Il consenso generale è quello di memorizzare quante più informazioni pertinenti possibili senza informazioni identificabili personalmente o informazioni aziendali sensibili. La raccomandazione OWASP è più specifica di IEC / ISO-27k .

Categorie per la registrazione:

• Sicurezza: tentativi di attacco, sessioni fallite, problemi di codifica, errori di applicazione, ecc.
• Autenticazione: tentativi di autenticazione dell'utente e risultati
• Autorizzazione: presupponendo che si utilizzino i controlli di accesso basati sui ruoli (RBAC): modifiche ai ruoli, autorizzazioni di ruoli e assunzioni di ruoli eccetera.
• Controllo: quale utente ha tentato quale tipo di accesso (leggi / scrivi / cancella / archivia / crea / importa / esporta) a quale risorsa dati con quale esito
• Prestazioni: le statistiche CPU, RAM e I / O possono essere misurate con ciascuna richiesta HTTP, che può essere utile per Application Response Measurement (ARM).

Evita la trappola di memorizzare tutti i dati POST o tutte le intestazioni HTTP, il vettore di attacco sarà solo più grande.

Non dimenticare di fornire all'applicazione Web un account solo scrittura per la risorsa di registrazione e di archiviare il registro in un luogo sicuro in cui non può essere modificato o visualizzato senza un'autorizzazione appropriata, ad esempio su un server di registrazione con un sistema SIEM (Security Information and Event Management).

Spesso ci sono requisiti legali per archiviare i registri per un minimo di 6 a 24 mesi e per registrare l'accesso al registro dell'applicazione.