Если файлы журналов (или данные журналов) содержат конфиденциальную информацию, которую необходимо защитить от удаления, манипулирования или предотвращения от «внедрения журнала», какие меры безопасности считаются оптимальными?
Что мне нужно, чтобы доказать, что мои журналы достоверны и надежны, если они использовались в качестве доказательства в суде?
Централизация ведения журнала на защищенном сервере может предоставить то, что вам нужно. Еще лучше, если вы можете записать журнал в базу данных на защищенном сервере, вы откроете все виды возможностей.
Ненавижу приставать к вам по этому поводу, но о каком журнале вы говорите? Журнал событий NT? Unix (y) Syslog (и друзья)? Запись с миникомпьютера? Немного дополнительной информации может привести вас к известному решению для того, что вы ищете ...
2009-05-18 Повторное редактирование:
Если вы можете отобразить все свои данные как запись в стиле системного журнала, тогда это сработает для вас.
Для машин в стиле Unix (y) используйте любую возможность системного журнала, которая есть в коробке. Вы захотите отправить все данные, которые записываются на центральный сервер журналов, но также оставьте стандартные настройки для локальной записи журналов. (подробнее об этом чуть позже)
Для тех служб в стиле Unix, которые не производят «истинный системный журнал», обычно существуют средства повторного анализа, которые могут преобразовать данные во что-то полезное. Яркие примеры: Apache и Кальмар имеют форматы журналов, которые для большинства установок не отформатированы для системного журнала. Регенерируйте эти данные каждые полчаса (или как вам удобнее). Затем центральный сервер журналов завершает работу и берет данные для своего дайджеста.
Для компьютеров в стиле Windows используйте NTSyslog, это бесплатная служба, которая перенаправляет записи журнала событий на сетевой сервер системного журнала. Доступны быстрые инструкции это касается настройки.
После того, как все машины будут «вести журнал», вам необходимо назначить центральный сервер журналирования. Перейти к Splunk веб-сайт и почитайте немного о нем; когда будешь готов, загрузите его на свой центральный сервер регистрации, и установите его на эту машину. Бесплатная версия обрабатывает до 500 Мбайт на день, которого, если у вас нет сумасшедшего количества журналов, с которым нужно бороться, должно быть более чем достаточно. Служба splunk примет весь ваш ввод системного журнала, классифицирует его и сохранит в локальной базе данных. На веб-странице вы можете фильтровать, выбирать, просматривать события по времени и т. Д. Очень удобно для просмотра составной картины по системам. Он также может подключаться к множеству различных «источников» данных, включая плоские файлы, что означает, что журналы apache и squid могут быть преобразованы в записи с помощью splunk (при условии, что вы подключите его к каждой машине, которая этого требует).
Полезным побочным эффектом этой настройки является то, что все локальные данные журналов остаются там - ничего не теряется, поэтому даже если ваш центральный сервер журналов выйдет из строя, журналы будут действительны в другом месте. И если машина потеряна (взорвется жесткий диск, нарушение безопасности, что угодно), у вас все еще будет история данных на центральном сервере.
После того, как все ваши машины находятся в системном журнале, а ваша служба работает в режиме splunk, направьте все машины системного журнала на сервер splunk.
С точки зрения аудита вам нужна централизованная система, в которой администраторы других систем не имеют административных прав. Существует множество решений, которые автоматически извлекают и экспортируют журналы в центральную систему. Вы в основном ищете то, что называется продуктом управления журналами или системой управления информацией безопасности (SIM). Что касается того, какой из них, это зависит от множества факторов, таких как бюджет, текущие решения и т. Д.
Что касается криминалистической точки зрения, самое важное - это иметь возможность продемонстрировать цепочку поставок, чтобы установить, что доказательства не были подделаны. Это выходит за рамки только инструментов. Это также процедуры, используемые для обработки доказательств при возникновении события безопасности и в ходе расследования и проверки того, что инцидент произошел, и перехода к сбору доказательств и оценке ущерба. Для такого рода вещей вам, вероятно, захочется найти людей с соответствующими SANS обучение работе с инцидентами и криминалистике.
А как насчет добавления контрольной суммы (sha1 например) записи журнала для каждой записи журнала. Конечно, если у кого-то есть доступ к этой базе данных (или где вы собираетесь хранить данные журнала), он все равно сможет добавить поддельную запись с действительной контрольной суммой. Но если вы добавите немного поваренная соль перед генерацией контрольной суммы, я думаю, будет невозможно сгенерировать действительную контрольную сумму, и ее будет очень легко проверить на ее подлинность.