Log di sicurezza su Linux, Solaris e Windows

3

In qualità di reparto sicurezza dell'azienda, i nostri amministratori di sistema ci chiedono che cosa devono effettuare il login per SIEM (Security Incident ed Event Management). Non abbiamo documenti preparati e stiamo cercando qualcosa che combini la saggezza combinata di COBIT, PCI, ecc. In un modo che possiamo presentare agli altri dipartimenti.

    
posta AviD 08.08.2011 - 17:04
fonte

2 risposte

3

Questa è una domanda incredibilmente complessa. Quello che devi registrare è un bisogno specifico del business. In genere, si desidera registrare gli accessi e le modifiche amministrative. Ma è ancora abbastanza semplice. Ciò di cui hai bisogno è una migliore comprensione da parte delle persone che guidano l'organizzazione su quali sistemi sono importanti. Un buon piano di continuità aziendale con alcune valutazioni del rischio ti porterà lontano.

Sono realista e so che ottenerlo è probabilmente un antipasto. Quindi posso offrire questo, se stai cercando di mettere a punto il tuo prodotto SIEM, non limitarti a sbattere tutto lì dentro in una volta. Scegli qualcosa, come Network Switches e ottieni i registri di invio e sintonizzati prima di passare alla prossima cosa, ad esempio Controller di dominio.

Vuoi che il tuo SIEM ti informi solo di un problema, se sei inondato da 400 avvisi al giorno, lo strumento SIEM è quasi inutile e dovresti aver appena installato un server syslog e salvato un mucchio di denaro.

    
risposta data 08.08.2011 - 23:42
fonte
3

Ecco una risposta semplice: Registra tutto .

Tutto ciò che può essere catturato, inviarlo insieme al tuo server SIEM. L'attenzione dovrebbe essere rivolta alla selezione e all'implementazione di un server SIEM in grado di gestire tale volume di dati e può essere utilizzato per avvisi e report che forniscono informazioni significative relative alla sicurezza senza troppi falsi positivi.

Non dovresti concentrarti sulla determinazione di ciò che è o non è importante e squelching i messaggi all'origine. Se ti sbagli, quando hai bisogno dei dati, saranno spariti o sparpagliati sugli endpoint, con le sole copie su macchine possibilmente compromesse.

Se raccogli tutto al tuo SIEM centrale, allora hai una copia forense nel caso in cui una macchina endpoint venga compromessa. Dove avresti dovuto sintonizzare i registri da inoltrare, ora devi solo ottimizzare i registri da elaborare per i tuoi avvisi e rapporti. E se dovesse risultare necessario qualcosa che non ritenevi importante, allora ce l'hai, proprio lì e pronto per la ricerca centralizzata fornita da SIEM.

Gli svantaggi sono:

  • Requisiti di spazio su disco per contenere tutti i registri
  • Software SIEM abbastanza veloce da gestire un enorme database di log
  • Il software SIEM è abbastanza intelligente da supportare query concise

I lati positivi sono:

  • Avrai tutti i log di cui hai bisogno, anche quelli che non pensavi avresti avuto bisogno di
  • Le tue indicazioni per gli amministratori di sistema diventano semplicissime
risposta data 09.08.2011 - 04:18
fonte

Leggi altre domande sui tag