本周的NIST TechTidbit是: 审计日志/检测的维护、监控和分析.. 激活审计日志 ...
这是一个既简单又复杂的话题,我在过去的两年里一直主张你们所有人都应该有一个审计服务器. 老实说,这实际上是两个审计服务器. 一个用于窗户。环境,另一个用于防火墙环境.
Microsoft 窗户。有一个审计GPO设置和一个增强设置. 我通常打开它来获取有意义的细节. 如果你在寻找任何实质性的东西,阅读原始的微软审计日志是相当痛苦的. 那里有很多有用的信息,但很难手工操作. 解决方案是安装和审计服务器. 这些服务器很容易添加到您的网络中. 他们很好地处理了所有的数据流,并将其提炼成有意义和可操作的信息. 你们所有人都应该计划在21/22学年向你的网络添加一个窗户。审计服务器来满足这个要求. 你真的需要这个.
对于非windows设备,例如需要日志记录的防火墙,通常所有路径都通向某种类型的SYSLOG服务器. 我们将被监视的设备指向syslog服务器,它只消耗日志. SYSLOG数据流往往非常庞大. 你们所有人都应该计划在21/22学年增加一个SYSLOG服务器来满足这个要求. 再说一次,你真的需要这个.
设置这些服务器是简单的部分. 在窗户。端,审计服务器的报告将使窗户。端易于理解. 在Syslog方面,捕获日志和知道如何处理它是两码事. 如果有什么不好的事情发生,法医有日志可以回顾过去.
然而,我们喜欢更主动一些. CSI有一个“为你管理的防火墙服务”来设置和管理防火墙. 对于我们可以在哪些防火墙上提供此服务,有特定的要求. 我们还可以安装和配置窗户。审计服务器,以便在网络的窗户。端进行报告.
如果您有兴趣讨论如何推进这个NIST需求,并在您的网络上运行审计日志记录, 请给我们打电话进一步讨论.
新闻官斯科特Quimby |
最近的评论