Dzienniki zdarzeń Windows i dzienników systemowych

Zarządzanie dziennikami

Zarządzanie dziennikami - Podstawowe działanie dla zapewnienia bezpieczeństwa sieci

Dzienniki zapewniają informacje z pierwszej ręki na temat aktywności sieciowej. Zarządzanie dziennikami gwarantuje, że dane aktywności sieciowej ukryte w dziennikach zostaną skonwertowane do wartościowych i dających się wykorzystać informacji bezpieczeństwa. Zarządzanie dziennikami jest wymogiem podstawowym dla administratorów sieci i zabezpieczeń w celu zachowania bezpieczeństwa sieciowego.

Na zarządzanie dziennikami składa się z zbieranie, dzienników, bezpieczna przestrzeń dyskowa, normalizacja, analiza, tworzenie raportów i alertów.

Zbieranie dzienników

  • Zbieranie dzienników nie może przeszkadzać w pracy.
  • Dzienniki muszą być zbierane z różnego rodzaju urządzeń, serwerów i aplikacji dostępnych w sieci.
  • Zbieranie dzienników raczej powinno być bezagentowe. w niektórych środowiskach sieciowych. Zbieranie dzienników w sposób agentowy powinno być dostępne jako opcja.

Bezpieczna przestrzeń dyskowa

  • Dane dziennika muszą być przechowywane w archiwum na potrzeby analizy śledczej i w celu spełnienia wymogów zgodności prawnej.
  • Przechowywane dane dzienników powinny być zabezpieczone (np. szyfrowaniem)
  • Również przestrzeń dyskowa powinna być odporna na ingerencję.
  • Okres przechowywania powinien być elastyczny (najlepiej konfigurowany przez użytkownika)
  • Lokalizacja przechowywania i nośniki powinny być elastyczne (nośniki tylko do odczytu, systemy pamięci masowej, itd.)

Normalizacja dzienników

Dzienniki ze źródeł heterogenicznych powinny być normalizowane, tak aby miały wspólny format. Jest to niezbędne dla analizy i korelacji.

Analiza dzienników

Dzienniki muszą być analizowane , aby uzyskać pełny obraz zdarzeń bezpieczeństwa sieciowego.

Generowanie raportów i alertów

Dzienniki są analizowane w celu generowania raportów i alertów

  • Powinny istnieć wstępnie przygotowane, konfigurowalne, zaplanowane raporty w różnych formatach z możliwością dystrybucji.
  • Alerty powinny mieć powiadomienia w czasie rzeczywistym. Powinno być więcej mechanizmów powiadomień, albo inny program powinien funkcjonować w celu przeprowadzania działań naprawczych.

Zarządzanie dziennikami jest integralną częścią monitorowania zabezpieczeń sieciowych.