Kézikönyv készült a szervezetek eseménynaplózásához

A most megjelent útmutató az eseménynaplózásra és a fenyegetésészlelésre összpontosít, miközben részletezi azokat az úgynevezett „living-off-the-land” (LOTL) technikákat, amelyeket a támadók használnak, és kiemeli a biztonsági gyakorlatok fontosságát a fenyegetések megelőzése érdekében.

Az útmutatót Ausztrália, Kanada, Japán, Korea, Hollandia, Új-Zéland, Szingapúr, az Egyesült Királyság és az Egyesült Államok kormányzati ügynökségei dolgozták ki, elsősorban a közepes és nagy szervezetek számára. A naplózási irányelveknek figyelembe kell venniük a szervezet és a szolgáltatók közötti megosztott felelősséget, a naplózandó események részleteit, a használandó naplózási eszközöket, a naplózás felügyeletét, a megőrzés időtartamát és a naplók újraértékelésének részleteit.

Az NKI honlapján olvasható cikk szerint az eseménynaplóknak olyan részleteket kell tartalmazniuk, amelyek elősegítik a védekezést, például a pontos időbélyegek, az eseménytípusok, az eszközazonosítók, a munkamenetazonosítók, az autonóm rendszerszámok, az IP címek, a válaszidő, a headerek, a felhasználói azonosítók, a végrehajtott parancsok és az egyedi eseményazonosító.

Az ügynökségek javasolják egy strukturált naplóformátum, például a JSON használatát egy pontos és megbízható, minden rendszeren használható forrás létrehozásához. A naplókat elég hosszú ideig őrizzék meg a kiberbiztonsági incidensek kivizsgálásának támogatásához, mivel egy esemény feltárása akár 18 hónapig is eltarthat.

Az útmutató részletesen kitér a naplóforrások priorizálására, az eseménynaplók biztonságos tárolására, és ajánlja a felhasználói és a szervezeti rendszerek viselkedését elemző képességek megerősítését az incidensek automatikus felderítése érdekében.

Az angol nyelvű kézikönyv ide kattintva tölthető le.