Kézikönyv készült a szervezetek eseménynaplózásának meghatározásához


A naplózási irányelveknek figyelembe kell venniük a szervezet és a szolgáltatók közötti megosztott felelősséget, a naplózandó események részleteit, a használandó naplózási eszközöket, a naplózás felügyeletét, a megőrzés időtartamát és a naplók újraértékelésének részleteit.

A “Best Practices for Event Logging and Threat Detection” (PDF) címet viselő dokumentum az eseménynaplózásra és a fenyegetésészlelésre összpontosít, miközben részletezi azokat az úgynevezett “living-off-the-land” (LOTL) technikákat, amelyeket a támadók használnak, és kiemeli a biztonsági gyakorlatok fontosságát a fenyegetések megelőzése érdekében.

Az útmutatót Ausztrália, Kanada, Japán, Korea, Hollandia, Új-Zéland, Szingapúr, az Egyesült Királyság és az Egyesült Államok kormányzati ügynökségei dolgozták ki, és a közepes és nagy szervezetek számára készült.

A naplózási irányelveknek figyelembe kell venniük a szervezet és a szolgáltatók közötti megosztott felelősséget, a naplózandó események részleteit, a használandó naplózási eszközöket, a naplózás felügyeletét, a megőrzés időtartamát és a naplók újraértékelésének részleteit.

A hasznos eseménynaplók segítik a hálózatvédőket abban, hogy felmérjék, a biztonsági események valódiak vagy fals-pozitívak, és, hogy felfedezzék azokat a LOTL technikákat, amelyeket úgy terveztek, hogy legitimnek tűnjenek.

A szervezeteknek az útmutató szerint gépek operációs rendszerére jellemző LOLBins naplózására kell összpontosítaniuk. Ilyenek például a segédprogramok, parancsok, szkriptek, adminisztratív feladatok, PowerShell, API-k, bejelentkezések és más típusú műveletek naplózása.

Az eseménynaplóknak olyan részleteket kell tartalmazniuk, amelyek segítenek a védőknek, például a pontos időbélyegek, az eseménytípusok, az eszközazonosítók, a munkamenetazonosítók, az autonóm rendszerszámok, az IP címek, a válaszidő, a headerek, a felhasználói azonosítók, a végrehajtott parancsok és az egyedi eseményazonosító.

Ami az operatív technológiát (OT) illeti, az adminisztrátoroknak figyelembe kell venniük az eszközök erőforrás korlátait, és szenzorokat kell használniuk naplózási képességeik kiegészítésére, valamint meg kell fontolniuk a naplózás out-of-band (OOB) megoldásait.

Az ügynökségek javasolják egy strukturált naplóformátum, például a JSON használatát egy pontos és megbízható, minden rendszeren használható forrást létrehozásához. A naplókat elég hosszú ideig őrizzék meg a kiberbiztonsági incidensek kivizsgálásának támogatásához, mivel egy incidens feltárása akár 18 hónapig is eltarthat.

Az útmutató részletesen kitér a naplóforrások priorizálására, az eseménynaplók biztonságos tárolására, és ajánlja a felhasználói és a szervezeti rendszerek viselkedését elemző képességek megvalósítását az incidensek automatikus felderítése érdekében. Továbbiak: securityweek.com

Forrás: https://nki.gov.hu


Kapcsolódó cikkek

2024. szeptember 11.

Lazít a kormány a lakás-takarékpénztári megtakarítások szabályozásán

Egy éjszaka megjelent jogszabálytervezet értelmében módosítanának több, a pénzügyi közvetítőrendszert érintő törvényt. A jórészt technikai jellegű módosítások mellett a lakástakarékpénztárakról szóló 1996. évi CXIII. törvény három lényeges ponton változna – írja a Portfolio.

2024. szeptember 11.

Korlátozta az önkormányzatok szerződési szabadságát a kormány

Az Ukrajna területén fennálló fegyveres konfliktus, humanitárius katasztrófa miatti veszélyhelyzet idejére rendeletben írta felül a kormány az önkormányzatok szerződési szabadságát – figyelt fel a Magyar Közlönyben megjelent döntésre a 24.hu.

2024. szeptember 11.

Tavasztól már csak belépési engedéllyel utazhatunk Nagy-Britanniába

Jövő tavasztól elektronikus belépési engedélyt kell kiváltaniuk azoknak a beutazóknak, köztük az európai uniós állampolgároknak, akik jelenleg vízum nélkül utazhatnak Nagy-Britanniába – közölte kedden a brit belügyminisztérium. A kötelem nem vonatkozik a letelepedési engedéllyel Nagy-Britanniában élő EU-állampolgárokra.