Назад | Перейти на главную страницу

Журналы, которые стоит хранить и анализировать в центральном хранилище

Из-за необходимости централизовать журналы мы выбрали syslog в качестве сборщика и Splunk (пока бесплатный) в качестве инструмента анализа, но всегда возникает вопрос, какие события должны попадать в центральный репозиторий и из каких систем.

Выбор должен касаться только тех журналов, которые представляют интерес с точки зрения безопасности.

Какие журналы вы собираете централизованно и как их выбирать?

В ответах должны быть указаны типы устройств, систем или программного обеспечения, типы журналов / событий и причина их выбора.

Windows:

  1. Журнал безопасности (специально для поиска сбоев аудита)
  2. Системный журнал (для сопоставления с журналом безопасности)
  3. Журналы IIS
  4. Любые журналы приложений для сетевых приложений.

В Linux:

  1. /var/log/auth.log (логины)
  2. /var/log/errors.log (для ... ошибок)
  3. Журналы SSH
  4. Журналы приложений

Обычно вы хотите отслеживать:

  1. Логины
  2. Системные ошибки
  3. Журналы приложений

Это будут самые важные журналы для отслеживания и наиболее показательные при использовании splunk.

Система журналов хороша ровно настолько, насколько хорош источник времени. Использование NTP и установка на всех ваших серверах одного часового пояса упростит вашу работу в десять раз. Мне нравится устанавливать часы в BIOS на UTC, а затем устанавливать в ОС местный часовой пояс.

РЕДАКТИРОВАТЬ: Теперь это вики. Добавьте свой совет!

В Linux вы также можете отправить все, от системного журнала до центрального сборщика данных, и проанализировать шаблоны. Вы никогда не знаете, что вам понадобится заранее, и вы можете упустить некоторую информацию, если включите только определенные услуги. Хотя существуют общие рекомендации относительно того, на каком объекте должен регистрироваться конкретный тип приложения, жестких правил не существует.

Если интересующее приложение записывает свои собственные файлы журнала, я обычно также загружаю их в демон syslog и пересылаю их центральному сборщику.

Это полезно не только в целях безопасности, но и для поиска ошибок конфигурации, а также аппаратных и программных сбоев.

Все журналы представляют интерес в целях безопасности. По крайней мере, они находятся в ящике unix / lnx.

Это действительно зависит от того, что вы пытаетесь обнаружить.

Если вы ищете доступ к ресурсам (например, файлам зарплаты, документации по продуктам):

  • собирать журналы для пользователя и времени доступа с сервера, на котором расположен ресурс
  • собирать информацию отслеживания электронной почты, чтобы вы могли видеть, куда идет ресурс

Если вы ищете внешний доступ, то:

  • vpn регистрирует, кто и когда входит в систему
  • журналы брандмауэра для попыток доступа
  • журналы ids для необычного трафика
  • Журналы входа в AD для обнаружения попыток перебора
  • журналы Wi-Fi
  • журналы dhcp

Опять же, сначала определите, что вы хотите обнаружить, а затем перейдите к журналам, которые могут показать вам, кто, что и где получил доступ к информации / ресурсу. Тогда переходите к следующему. По опыту, если вы просто хотите все, у вас ничего не получится.

Это далеко не общий вопрос.

Вы уже должны знать, какие журналы нужно загружать в splunk. Какие журналы вы просматриваете вручную при поиске событий безопасности? Это те, которые нужно скормить splunk.