iT邦幫忙

2023 iThome 鐵人賽

DAY 24
0

日誌與事件監控

日誌(Log)是記錄各種事件以及前兆的主要工具,事件為在系統的任何操作,會導致系統中的元素發生可見的變化。Log 產生儲存與運算的成本,但對於發生意外時,以及日後進行歸責時非常重要,因此應正確設計日誌記錄功能,以及定期檢查日誌內容。

主要的控制框架(如 ISO 27001)都明訂了日誌的重要性,Log 需要記錄的內容包含但不限於:使用者名稱、系統活動、關鍵事件(如登入/登出)的時間點、設備、位置(如 IP)、是否被成功存取、變更系統設定、系統保護機制啟動或停用等事件。

Log 也應該對資訊環境的效能狀況進行記錄與監控,識別效能低落或運作不正常的系統、偵測外洩事件、提供系統使用記錄非常重要,透過將不同系統的事件進行關聯,可以更充分瞭解事件之間的關係。

Log 需要被定期檢查,以確認是否系統的各項操作都有被確實記錄外,更重要的是可以識別出資安事件、政策違規和其他的違規存取等事件,這些記錄對於日後如果需要進行數位鑑識時,都是非常重要的資訊,例如可以確認系統漏洞是否有被利用等。而實務上會因為 Log 數量龐大,需要透過一定條件篩選出可能需要被確認的 Log 記錄,例如 Splunk 等資料分析工具。

除了確認 Log 的狀態外,也應妥善保存 Log 檔案,遵守內外部的規範保留 Log,並防止遭到未經授權的修改、洩漏或滅失等。

實作方法

根據風險來自於流入或流出的流量,使用不同的工具:

流入

針對所有流入流量進行監控,例如防火牆、Secure Gateway、遠端驗證伺服器、IPS/IDS、SIEM、防毒軟體等。

流出

主要防止組織資料外洩,因此通常使用 DLP(Data Loss Prevention),可能是網路設備型,也可能是本機安裝 Agent 形式,可以檢查所有傳輸至組織外部的資料,包含 Email、可攜式裝置、FTP、網站上傳/輸入、API 等形式資料傳輸皆能監控,並於偵測到時進行相對應的動作,例如阻擋、告警、要求主管放行等動作。


上一篇
[Day 23] 資料安全
下一篇
[Day 25] 配置管理
系列文
30 天取得 ISC2 Certified in Cybersecurity30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言