Log e controllo file

1

Sto affrontando questa conformità PCI per la prima volta. Ho alcune domande perché non è chiaro cosa si aspettano e forse ci sto pensando troppo.

Domanda 1: da 10.3.1 a 10.7 Monitoraggio dell'accesso

Si suppone che si registri ogni volta che un utente eleva le proprie autorizzazioni per eseguire un'attività e registra quale attività era, chi era, data e perché.

Significa tutti i PC e i server? O è solo un server? O sono solo i PC che abbiamo nel call center che prendono le informazioni della carta di credito e il server con cui comunicano?

Domanda 2: 11.5 Monitoraggio dell'integrità dei file.

Questo è solo il PC nel call center e il server con cui comunicano? o è tutto? Ovviamente, mi piacerebbe avere tutto ma questo è un sacco di dati da passare ogni giorno. Oppure il mio account Splunk ha bisogno di un serio aggiornamento sui dati.

    
posta user2091722 31.10.2018 - 14:34
fonte

2 risposte

4

La registrazione e la FIM devono essere abilitate su tutti i sistemi all'interno dei segmenti di rete nell'ambito. Se si dispone di un call center, ciò significa almeno i desktop degli utenti e i server che supportano l'infrastruttura. Idealmente, gli agenti del servizio clienti non avranno profili amministrativi sui loro sistemi, pertanto il numero di registri che riceverete relativi all'escalation dei privilegi sarà limitato.

Mentre gli agenti Splunk raccoglieranno e spediranno i log per l'analisi centrale, non si tratta in realtà di una soluzione di monitoraggio dell'integrità dei file. Potresti utilizzare software come OSSEC o Wazuh o implementare funzionalità simili utilizzando AppLocker di Microsoft che ti consentirebbe di applicare la whitelist e monitorare le modifiche.

    
risposta data 31.10.2018 - 15:37
fonte
0

Come stai configurando la tua collezione di log? Puoi usare qualcosa come NXLog (c'è una versione gratuita) in grado di registrare questi tipi di eventi utente (ad esempio eventi EventLog di sicurezza) e ci sono alcuni moduli per il monitoraggio dell'integrità dei file.

    
risposta data 05.11.2018 - 16:33
fonte

Leggi altre domande sui tag