Skip to main content

8.15 Rejestrowanie zdarzeń

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Detekcyjne, Poufność, Integralność, Dostępność
Koncepcje cyberbezpieczeństwa: Wykrywanie, Zarządzanie zdarzeniami bezpieczeństwa informacji
Obszary operacyjne: Ochrona, Obrona

Kontrola

Rejestry zawierające informacje o aktywnościach, wyjątkach, błędach oraz innych istotnych zdarzeniach powinny być tworzone, przechowywane, chronione i analizowane.

Cel

Zapewnienie rejestrowania zdarzeń, generowanie dowodów, utrzymanie integralności danych dziennika, zapobieganie nieautoryzowanemu dostępowi, identyfikacja zdarzeń związanych z bezpieczeństwem informacji oraz wsparcie w prowadzeniu dochodzeń.

Wytyczne

Ogólne zasady

Organizacja powinna określić cel prowadzenia rejestrów zdarzeń, rodzaj zbieranych danych oraz wszelkie wymagania dotyczące ich ochrony i przetwarzania. Informacje te powinny być udokumentowane w polityce rejestrowania zdarzeń.

Dzienniki zdarzeń powinny zawierać, jeśli to możliwe:

  • a) identyfikatory użytkowników,
  • b) działania systemowe,
  • c) daty, godziny oraz szczegóły zdarzeń (np. logowanie i wylogowanie),
  • d) identyfikatory urządzeń, systemów i lokalizacji,
  • e) adresy sieciowe i używane protokoły.

Wydarzenia podlegające rejestrowaniu

Organizacja powinna rejestrować następujące zdarzenia:

  • a) udane i odrzucone próby dostępu do systemu,
  • b) udane i odrzucone próby dostępu do danych i zasobów,
  • c) zmiany konfiguracji systemu,
  • d) użycie uprawnień uprzywilejowanych,
  • e) użycie programów narzędziowych i aplikacji,
  • f) dostęp do plików, w tym ich usuwanie,
  • g) alarmy generowane przez systemy kontroli dostępu,
  • h) aktywacja i dezaktywacja systemów bezpieczeństwa,
  • i) tworzenie, modyfikacja lub usuwanie tożsamości użytkowników,
  • j) transakcje wykonywane przez użytkowników w aplikacjach, w tym aplikacjach dostarczanych przez strony trzecie.

Wszystkie systemy powinny mieć zsynchronizowane źródła czasu (zob. 8.17), co umożliwia korelację dzienników zdarzeń i analizę incydentów.

Ochrona dzienników zdarzeń

Użytkownicy, w tym ci posiadający uprawnienia uprzywilejowane, nie powinni mieć możliwości usuwania lub dezaktywowania rejestrów swoich działań. Powinny zostać wdrożone mechanizmy zapewniające ich ochronę oraz nadzorowanie ich integralności, takie jak:

  • a) ochrona przed modyfikacją typów rejestrowanych komunikatów,
  • b) uniemożliwienie edycji lub usuwania plików dziennika,
  • c) zapobieganie nadpisywaniu starszych zdarzeń w przypadku wyczerpania pojemności nośnika.

Do ochrony dzienników zdarzeń można zastosować techniki, takie jak:

  • funkcje skrótu kryptograficznego,
  • przechowywanie w plikach tylko do dopisywania,
  • rejestrowanie w publicznych dziennikach transparentności.

Niektóre dzienniki audytowe mogą wymagać archiwizacji z powodu regulacji dotyczących retencji danych lub dowodów (zob. 5.28).

Jeśli organizacja musi przesłać logi do dostawcy usług w celu analizy błędów, powinny one zostać zanonimizowane, np. poprzez maskowanie danych (zob. 8.11), takich jak nazwy użytkowników, adresy IP, nazwy hostów.

Dzienniki mogą zawierać dane osobowe i inne wrażliwe informacje, dlatego należy wdrożyć odpowiednie mechanizmy ochrony prywatności (zob. 5.34).

Analiza dzienników zdarzeń

Analiza dzienników powinna obejmować interpretację zdarzeń związanych z bezpieczeństwem informacji w celu wykrycia nietypowej aktywności lub anomalii, które mogą wskazywać na naruszenie bezpieczeństwa.

Podczas analizy zdarzeń należy uwzględnić:

  • a) wymagane kompetencje analityków,
  • b) określenie procedur analizy,
  • c) istotne atrybuty dla każdego zdarzenia,
  • d) wykrywanie wyjątków na podstawie predefiniowanych reguł (np. systemy SIEM, firewall, IDS),
  • e) analizę wzorców zachowań użytkowników i ruchu sieciowego,
  • f) identyfikację zagrożeń na podstawie analizy danych i specjalistycznych narzędzi,
  • g) wykorzystanie dostępnych informacji wywiadowczych o zagrożeniach (threat intelligence).

Analiza dzienników powinna być wspierana przez działania monitorujące, takie jak:

  • a) weryfikacja prób dostępu do chronionych zasobów (np. serwerów DNS, portali internetowych),
  • b) analiza logów DNS pod kątem podejrzanych połączeń sieciowych,
  • c) przegląd raportów zużycia usług w celu wykrycia nietypowych działań,
  • d) korelacja dzienników zdarzeń z danymi o fizycznym dostępie do obiektów,
  • e) łączenie logów z różnych systemów w celu precyzyjnej analizy.

Podejrzane i faktyczne incydenty bezpieczeństwa powinny być identyfikowane (np. infekcje malware, ataki na zapory sieciowe) i poddawane dalszemu dochodzeniu w ramach procesu zarządzania incydentami (zob. 5.25).

Inne informacje

  • Dzienniki systemowe często zawierają duże ilości danych, dlatego warto stosować narzędzia do ich analizy i filtrowania istotnych zdarzeń.
  • Rejestrowanie zdarzeń stanowi podstawę do wdrażania automatycznych systemów monitorowania (zob. 8.16), które mogą generować skonsolidowane raporty i alarmy.
  • Narzędzia SIEM umożliwiają przechowywanie, korelowanie i analizowanie dzienników, ale wymagają starannej konfiguracji.
  • Publiczne dzienniki transparentności mogą być wykorzystywane do wykrywania prób manipulacji logami, np. w systemach certyfikacji.
  • W środowiskach chmurowych odpowiedzialność za zarządzanie logami może być podzielona między dostawcę chmury a klienta. Więcej informacji na ten temat znajduje się w ISO/IEC 27017.