Se si considerano i registri eventi di Windows da incorporare in una soluzione SIEM, dovrei controllare solo i registri degli eventi di sicurezza o tutte le categorie del registro eventi? Quanto sono utili le altre categorie nel rilevare e rispondere agli incidenti di sicurezza?
Oggigiorno la maggior parte dei prodotti commerciali SIEM / SEIM / SIM / SEM / SEEM / CSIM / SCIM / SIM vengono spediti con una grande moltitudine di cosiddetti "report in scatola". In generale, ciascuno di questi report sarà progettato per esaminare log specifici da tipi specifici di sistemi e elaborarli. Ad esempio, in base al rapporto "Windows - Attemps di autenticazione non riuscita", si presuppone che gli EventID che eseguono il mapping degli eventi di autenticazione vengano elaborati alla ricerca di FAILURE. Considerando che un "Windows - Firewall Blocks" cercherebbe EventID che mappano al sottosistema del firewall verrebbero elaborati.
Le vere domande che dovresti porci sono queste;
La risposta alla domanda numero 1 è tutta incentrata sull'inquadrare la situazione nella tua testa. Così puoi tenerlo presente quando pensi all'altra 2. Una volta che hai risposto a queste domande, puoi guardare il prodotto SIEM che hai e determinare "Quali dati sono necessari per produrre quell'informazione?"
Tieni presente che anche la sua può variare in modo selvaggio a seconda delle specifiche fonti di registro. Ad esempio, potresti decidere che un server web che non serve nient'altro che le informazioni di contatto di un dipartimento deve solo inviare i log di autenticazione e IIS, mentre puoi volere tutti i registri dai tuoi controller di dominio. Questo può anche essere strongmente influenzato da qualsiasi restrizione di licenza in quanto molti prodotti commerciali saranno licenziati in base al numero di sorgenti di log e / o eventi al secondo (EPS).
Sfortunatamente, non esiste una risposta breve e chiara. Tutto dipende da cosa vuoi e dalla tua soluzione.
Dipende dal tipo di evento che stai considerando un incidente. Vi sono informazioni che è possibile utilizzare per segnalare in tempo reale (collegando dispositivi USB per esempio) che non necessariamente riporteranno nel registro di sicurezza. Il riavvio del servizio e altri eventi pertinenti che potrebbero essere correlati a eventi di sicurezza. I registri per antivirus e firewall possono essere inviati anche se stai utilizzando il giusto tipo di servizi di inoltro.
Dovresti essere in grado di raccogliere gran parte di questo da tutte le diverse categorie di registri eventi. Tendo a non focalizzare l'attenzione su una singola posizione in quanto puoi scoprire rapidamente che hai i paraocchi.