Le organizzazioni che devono rispettare i mandati normativi devono conservare questi dati del log di sicurezza per diversi anni. In ambienti IT di grandi dimensioni, la gestione dei log diventa difficile, poiché ogni workstation registra migliaia di eventi e accumula terabyte di dati. Di seguito sono riportate cinque procedure consigliate per la conservazione dei log di sicurezza:
I log di sicurezza fungono da prova quando si desidera condurre analisi forensi. Per questo motivo, l'archiviazione centralizzata di tutti i log e la garanzia della loro integrità sono fondamentali per rispettare i requisiti normativi. Assicurati di crittografare questi log durante l'archiviazione e implementa anche la marcatura temporale, l'hashing e altre tecniche per proteggere i dati.
A seconda dei requisiti di audit dell'organizzazione, imposta la dimensione massima del log di sicurezza in modo da scalare man mano che vengono aggiunti più dati alla rete. In questo modo eviterai di perdere informazioni a causa di un'archiviazione insufficiente, garantendo così la conformità dell'utente.
I log di sicurezza devono essere conservati per periodi più lunghi rispetto ad altri tipi di log, ad esempio i dati dei log delle applicazioni, in quanto fungono da prova contro le violazioni dei dati e gli attacchi. Tuttavia, non puoi conservarli per sempre. L'impostazione dei criteri di conservazione dei log è essenziale per conservare i dati di log necessari ed eliminare i dati meno recenti. La dimensione massima del log di sicurezza e la configurazione dei criteri di conservazione può essere eseguita su un computer locale tramite il Visualizzatore eventi Microsoft o su tutti i computer di destinazione tramite Criteri di gruppo.
La registrazione di un numero eccessivo di eventi rende difficile trovare quelli importanti durante la conservazione. Ciò aumenta la probabilità che le informazioni critiche vengano trascurate, quindi configura attentamente i criteri di controllo per la registrazione degli eventi critici come accessi non riusciti, blocchi degli account e accesso ai file per rispettare le normative e garantire la sicurezza della rete.
Affinché le voci del log di sicurezza dispongano di timestamp accurati durante la conservazione, è necessario sincronizzare gli orologi su tutti i sistemi. Anche una piccola discrepanza temporale può rendere molto più difficile ricostruire la catena di eventi che porta a una falla nella sicurezza. Il monitoraggio settimanale degli orologi del sistema per controllare e correggere eventuali variazioni significative può ridurre le possibilità che gli incidenti di sicurezza non vengano rilevati.
La conservazione e l'analisi dei log di sicurezza per i requisiti di conformità può essere un'attività complessa per l'organizzazione. ADAudit Plus, una soluzione di controllo AD basata sull'analisi del comportamento degli utenti (UBA) di ManageEngine, non solo aiuta ad archiviare i registri di sicurezza per tutto il tempo che desideri, ma fornisce anche report di conformità preconfezionati per SOX, HIPAA, PCI, FISMA, GLBA, GDPR e ISO.
Scarica la versione di prova gratuita di 30 giorni.