Controllo registri eventi di un sistema

Un sacco di software esiste per questo motivo. E alcuni di essi possono essere gestiti da una sola persona o da un intero gruppo di persone. Il principio principale su questo è:

1. Identifica ciò che registrerai.
2. Identifica il tipo di informazioni necessarie (operative o di sicurezza)
3. Identifica i casi d'uso; l'utente malintenzionato si collega, qualcuno accede ad ore dispari, qualcuno che non è autorizzato ad accedere.
4. Identifica con l'infrastruttura fornita come raccogliere questi eventi.
5. Crea gli avvisi, collega la tua e-mail e aspetta fino a quando succede qualcosa.

Questo tipo di strumento che stai cercando è a scopo di sicurezza delle informazioni, anche se altri strumenti del punto di vista operativo hanno iniziato a creare se stessi come operatori SIEM. Cos'è un SIEM? (grazie a wiki)

Security information and event management (SIEM) is a term for software and products services combining security information management (SIM) and security event management (SEM). SIEM technology provides real-time analysis of security alerts generated by network hardware and applications.

Non sono affiliato con nessuno di questi sviluppi di questi strumenti, né lavoro per nessuna delle aziende che li vendono (anche se lavoro con gli strumenti stessi).

Ho intenzione di rompere questo come base di costo. Da Free (ish) a Costoso, e anche darti alcune informazioni su come identificare il tipo di informazioni che stai cercando al loro interno. Questi ti permetteranno di mettere tutti i dati all'interno di un posto e ricevere una email quando succede qualcosa piuttosto che leggere il registro degli eventi tutto il giorno (BLEH!).

1. OSSIM

OSSIM provides all of the features that a security professional needs from a SIEM offering – event collection, normalization, and correlation. Established and launched by security engineers out of necessity, OSSIM was created with an understanding of the reality many security professionals face: a SIEM is useless without the basic security controls necessary for security visibility.

Questo prodotto fornisce una buona base con la possibilità di ricevere Log eventi, Syslog e altri tipi di eventi, creare regole e ricevere avvisi quando succede qualcosa che non si desidera. Questo è gratuito e accoppiato con i dati di Intelligence sulle minacce.

1. Splunk link

Questo è un software operativo andato in sicurezza. Fa alcune delle caratteristiche più basilari della correlazione, le regole sono facili da fare e sembra appariscente. È facile da usare e facile da configurare. Molte persone usano questa versione gratuita anche se nella versione gratuita mancano avvisi.

1. Nitro (McAfee)

Questo è uno dei più costosi che richiede 8-10 mesi di configurazione e costruisce il tempo necessario per renderlo gestibile da un singolo utente.

1. ArcSight (HP)

Il bohemouth di ArcSight di HP, per quanto bello e sorprendente, richiede molto lavoro per mantenerlo attivo. Anche se è uno dei migliori prodotti là fuori, è molto costoso e probabilmente non vale la pena acquistare per il tuo caso d'uso.

- Quindi spero che questo ti aiuti a capire che non è difficile configurare qualcosa di simile e aspettare solo le e-mail sugli avvisi.

Sono un auditor IT anch'io. La mia risposta viene dall'esperienza.

Am I wrong to feel it is unreasonable and unproductive to be examining these logs?

Sì, la tua convinzione è errata e irragionevole. I registri di controllo, se progettati correttamente per acquisire le informazioni più pertinenti, sono uno strumento prezioso per aiutare il rilevamento di frodi / dati violazione / non conformità dei dipendenti. Informazioni utili comprendono, ad esempio:

• Data / ora di un evento
• ID utente associato
• Tipo di evento
• Sistema di origine

Un ulteriore vantaggio di tale sistema è la responsabilità dell'utente. Ad esempio, se si accede a un account da una persona non autorizzata, è necessario che un registro acquisisca la data e l'ora di accesso insieme all'ID utente univoco della persona che ha commesso l'infrazione. Senza queste informazioni, è molto difficile, se non impossibile, dimostrare il non ripudio, poiché un utente può facilmente negare le proprie azioni.

Since it seems I can be on the hook if an unreported incident was discovered, how can I possibly analyze the overwhelming amount of information headed my way without changing my job title to 'Event Log Reader'?

Se la struttura della tua azienda potrebbe permetterti di essere responsabile di incidenti non dichiarati, la tua politica aziendale viola il principio di sicurezza della Segregation of Duties. La separazione delle funzioni è progettata per impedire con precisione una situazione ipotetica si verificano. In sostanza, ai dipendenti con responsabilità di supervisione, come te, dovrebbe essere impedito di accedere all'applicazione sottostante da cui i log sono stati generati. Se non hai accesso, non puoi essere ritenuto responsabile per incidenti non segnalati.

Infine, se la quantità di informazioni registrate è gravosa da esaminare, allora la tua tecnica di registrazione è imperfetta. La registrazione di ogni evento banale equivale a non registrare affatto. Impedisce che le informazioni critiche vengano notate in un mare di rumore.