Из-за необходимости централизовать журналы мы выбрали syslog в качестве сборщика и Splunk (пока бесплатный) в качестве инструмента анализа, но всегда возникает вопрос, какие события должны попадать в центральный репозиторий и из каких систем.
Выбор должен касаться только тех журналов, которые представляют интерес с точки зрения безопасности.
Какие журналы вы собираете централизованно и как их выбирать?
В ответах должны быть указаны типы устройств, систем или программного обеспечения, типы журналов / событий и причина их выбора.
Windows:
В Linux:
Обычно вы хотите отслеживать:
Это будут самые важные журналы для отслеживания и наиболее показательные при использовании splunk.
Система журналов хороша ровно настолько, насколько хорош источник времени. Использование NTP и установка на всех ваших серверах одного часового пояса упростит вашу работу в десять раз. Мне нравится устанавливать часы в BIOS на UTC, а затем устанавливать в ОС местный часовой пояс.
РЕДАКТИРОВАТЬ: Теперь это вики. Добавьте свой совет!
В Linux вы также можете отправить все, от системного журнала до центрального сборщика данных, и проанализировать шаблоны. Вы никогда не знаете, что вам понадобится заранее, и вы можете упустить некоторую информацию, если включите только определенные услуги. Хотя существуют общие рекомендации относительно того, на каком объекте должен регистрироваться конкретный тип приложения, жестких правил не существует.
Если интересующее приложение записывает свои собственные файлы журнала, я обычно также загружаю их в демон syslog и пересылаю их центральному сборщику.
Это полезно не только в целях безопасности, но и для поиска ошибок конфигурации, а также аппаратных и программных сбоев.
Все журналы представляют интерес в целях безопасности. По крайней мере, они находятся в ящике unix / lnx.
Это действительно зависит от того, что вы пытаетесь обнаружить.
Если вы ищете доступ к ресурсам (например, файлам зарплаты, документации по продуктам):
Если вы ищете внешний доступ, то:
Опять же, сначала определите, что вы хотите обнаружить, а затем перейдите к журналам, которые могут показать вам, кто, что и где получил доступ к информации / ресурсу. Тогда переходите к следующему. По опыту, если вы просто хотите все, у вас ничего не получится.
Это далеко не общий вопрос.
Вы уже должны знать, какие журналы нужно загружать в splunk. Какие журналы вы просматриваете вручную при поиске событий безопасности? Это те, которые нужно скормить splunk.