ロギングと監視の概念は新しいものではありませんが、組織は依然としてセキュリティに重点を置いたロギングと監視のポリシーを策定して実装するのに苦労しています。セキュリティチームは、従来の運用指標を収集するだけでなく、さまざまな攻撃を保存、分析、さらには軽減することもできるロギングおよび監視プログラムを構築する必要があります。情報を収集および分析するこのプロアクティブなアプローチは、「アプリケーションレベルのログ」によるコードの問題の検出、「AWS / Azureなどのインフラストラクチャログ」を用いて異常なネットワークトラフィックの特定など、さまざまな方法で開発者、システム管理者、セキュリティチームにとって役立つ情報が得られ、高度なセキュリティ情報およびイベント管理機能を使用して、セキュリティインシデントを検出および防止することが可能となります。これらのロギングと監視のベストプラクティスを採用することで、これらの課題に対処できるのです。
组织がログの记録を必要としている理由を特定することは、记録する必要があるものを定义するのに役立ちます。たとえば、下记は组织が必要とする可能性のある理由の一部です。
これらの目的について、セキュリティガバナンスチーム、法务部门、およびその他の利害関係者と话し合うことは、ログ记録と监视の目标を定义するのに役立ちます。
目标に基づいて、取得すべきメタデータとログに记録すべきイベントを决定します。ログに记録されるメタデータとイベントの例と理由は次のとおりです。
インフラストラクチャ管理者とセキュリティチームは协力して従来の运用指标を収集して分析し、攻撃を軽减可能な、効果的なログの记録と监视のためのプログラムを构筑する必要があります。ログイン试行の复数回の失败やサーバーで実行されたコマンドの毎週の通知など、特定のイベントに関するアラートを设定して、これらのイベントを监视できます。また、开発チームと协力して、ログエントリのさまざまな属性が何を意味するのかを理解することも重要です。通常の操作のベースラインを取得したら、アプリケーションのセキュリティリスクプロファイルに基づいて、异常に対してトリガーされる相関ルール、集计、しきい値、およびアラートを构成できます。たとえば、すべてのログエントリには少なくとも次のものが必要です。
ログデータは、パフォーマンスとコストに影响を与える膨大な量のデータセットです。监视する必要のあるデータを决定するときは、まず何も残さないことから始めます。どのシステム/アプリケーションを监视する必要があり、どのレベルの监视が必要かを特定する必要があります。また、法で定められた、规制、または契约上の要件に従って、データとシステムを分类する必要があります。この分类は、セキュリティシステムの分类やビジネスデータの分类とは异なる场合があることに注意してください。
スケーラブルで復元力のあるロギングおよび监视プログラムを构筑する际に、商用製品とオープンソースプロジェクトの両方から选択できる多くのソリューションから选択することが可能です。ロギングや监视のアーキテクチャに最适なテクノロジーを选択することは困难な作业になる可能性がありますが、いくつかの重要なポイントは次のとおりです。
ロギングおよび監視プログラムは、組織全体の活動を調査し、機密情報が含まれている可能性があるため、それ自体が組織の資産です。 それを保護するために考慮すべきいくつかのポイントがあります。
セキュリティチームと協力して、すべてのシステムのログ要件を詳細に定義する全社的なポリシーと手順を実施します。これにより、一貫性が確保され、ロギングでプロトコルと手順が実行されます。 強力な権限と企業の支援を受けたポリシーにより、ロギングと監視の慣行が確実に守られます。
强力なロギングメカニズムがなければ、组织はインシデントの発生する前、最中、および発生后に暗闇にさらされます。高度なシステムへの攻撃は、多くの场合、数か月または数年にわたって実行されます。あなたの组织はこのようなプローブを検出してブロックすることができるかどうか、モチベーションを持った攻撃者がその时间の间アプリケーションをゆっくりと分解し、検出されない场合、実际のエクスプロイトが発生する可能性が高くなります。このようなシナリオを防ぐには、次の手顺が不可欠です。
安全なロギングおよび监视プログラムを构筑することは简単な作业ではありませんが、それはあらゆるアプリケーションアーキテクチャの不可欠な部分であり、意欲的で断固とした敌による高度な攻撃の検出とブロックに大きな违いをもたらします。别ラーニングコースを调べて、ロギングと监视のベストプラクティスの详细を确认してください。