記錄和保護監(jiān)控

　　使用日志記錄和監(jiān)控來識別威脅并保護智能手機、平板電腦、筆記本電腦和臺式電腦，安全監(jiān)控是識別和檢測 IT 系統(tǒng)威脅的核心。在檢測安全事件并從安全事件中恢復(fù)時，它充當我們眼睛和耳朵，使我們能夠確保根據(jù)組織策略使用設(shè)備。

　　有效的監(jiān)控依賴于適當、可靠的日志記錄和設(shè)備管理實踐。本文旨在為系統(tǒng)和網(wǎng)絡(luò)管理員提供有關(guān)現(xiàn)代平臺上可用的日志記錄和監(jiān)控選項的建議。

　　為什么要使用日志記錄和保護性監(jiān)控？

　　許多大型事件已經(jīng)顯示出針對單個主機，從攻擊者將試圖進一步加強通過獲得的橫向移動技術(shù)，如證書被盜，賬戶模擬，使用正版的網(wǎng)絡(luò)工具或已知漏洞的網(wǎng)絡(luò)協(xié)議過時的版本，以傳播和破壞額外的設(shè)備以訪問額外的數(shù)據(jù)和服務(wù)。

　　其中一些更傳統(tǒng)的技術(shù)可能不適用于純云或零信任網(wǎng)絡(luò)架構(gòu)。然而，在決定是否允許訪問組織服務(wù)和數(shù)據(jù)時，監(jiān)控設(shè)備活動、健康和配置可以說變得更加重要。

　　日志記錄和監(jiān)控將幫助組織識別網(wǎng)絡(luò)上的活動模式，從而提供入侵指標。在發(fā)生事故時，記錄數(shù)據(jù)可以幫助更有效地確定危害的來源和程度。

　　為日志記錄和監(jiān)控做準備

　　可以從設(shè)備收集多種類型的事件和信號。設(shè)備監(jiān)控應(yīng)成為貴組織更廣泛的日志記錄和監(jiān)控方法的一部分。很多時候，成功的入侵檢測需要多個信息源。

　　一般而言，監(jiān)控數(shù)據(jù)可能來自事件驅(qū)動的日志，例如網(wǎng)站連接或設(shè)備配置詳細信息，例如設(shè)備上運行的當前操作系統(tǒng)版本。

　　作為第一步，應(yīng)該設(shè)法了解需要并能夠收集的數(shù)據(jù)類型和來源。為了幫助完成此過程，我們對下表中可能提供的數(shù)據(jù)源進行了廣泛分類。

　　類別描述

　　基于主機的日志

　　基于主機的日志記錄可以提供豐富的數(shù)據(jù)源。通常，這將包括與文件系統(tǒng)、正在運行的進程和程序加載事件等相關(guān)的事件。基于主機的日志記錄還可以提供額外的事件源，例如網(wǎng)站連接和設(shè)備或服務(wù)登錄。

　　一些設(shè)備操作系統(tǒng)將支持一組豐富的內(nèi)置系統(tǒng)日志，這些日志可以轉(zhuǎn)發(fā)到集中存儲，而另一些將提供非常有限的日志集。

　　根據(jù)設(shè)備平臺，可以安裝額外的基于主機的代理來收集日志數(shù)據(jù)，超出內(nèi)置功能。但是，這帶來了需要在設(shè)備上安裝額外軟件的開銷。它還需要對基于主機的代理進行額外的管理要求。在某些情況下，安裝的代理甚至可能會帶來額外的威脅風(fēng)險。

　　服務(wù)日志身份、郵件和文檔存儲等服務(wù)以及數(shù)據(jù)庫等后端服務(wù)通常會生成可收集和審查的事件或?qū)徲嬋罩?。這些類型的日志，包括對身份驗證嘗試和配置數(shù)據(jù)更改的監(jiān)控，可以提供額外的日志源，可以幫助檢測設(shè)備的入侵指標。

　　基礎(chǔ)設(shè)施日志根據(jù)組織網(wǎng)絡(luò)架構(gòu)，防火墻、網(wǎng)絡(luò)代理和入侵保護或檢測系統(tǒng)等設(shè)備都可以提供基于網(wǎng)絡(luò)的設(shè)備事件監(jiān)控，例如網(wǎng)站連接和 DNS 請求。這有助于識別可能通過單擊網(wǎng)絡(luò)釣魚鏈接或下載惡意文件等方式連接到惡意站點的設(shè)備。更高級的功能還可以包括簽名或基于啟發(fā)式的檢測技術(shù)。

　　設(shè)備合規(guī)性

　　設(shè)備管理的一個重要功能是監(jiān)控設(shè)備狀態(tài)和配置。此數(shù)據(jù)可用于根據(jù)組織策略評估設(shè)備合規(guī)性。例如，設(shè)備操作系統(tǒng)是否是最新的？

　　因為有許多設(shè)備和一系列移動設(shè)備管理系統(tǒng)，所以對此類合規(guī)性數(shù)據(jù)的支持程度差別很大，可以根據(jù)這些數(shù)據(jù)采取的行動也是如此。在選擇在組織中使用哪些設(shè)備以及選擇移動設(shè)備管理服務(wù)時，應(yīng)該考慮這一點。

　　設(shè)備認證

　　遠程設(shè)備證明旨在報告一組設(shè)備及其上運行的軟件的可信信號和測量結(jié)果。應(yīng)以這樣的方式保護和報告這些測量結(jié)果，即使設(shè)備受到損害，也可以依賴這些測量結(jié)果。更強的證明形式通常將硬件支持的密鑰存儲和信任根與基于公鑰的加密操作相結(jié)合，用于存儲和報告設(shè)備狀態(tài)的可信測量。

　　對遠程設(shè)備認證的支持因設(shè)備和移動設(shè)備管理服務(wù)而異。在選擇要使用的設(shè)備以及選擇移動設(shè)備管理服務(wù)時，應(yīng)該考慮這一點。

　　應(yīng)該仔細考慮對這些數(shù)據(jù)源的訪問和使用。連同組織正在使用的設(shè)備的日志記錄和遠程管理功能，將決定檢測和響應(yīng)安全事件或策略違規(guī)的能力。

　　如何監(jiān)控和記錄

　　制定戰(zhàn)略

　　10 個網(wǎng)絡(luò)安全步驟將幫助我們實施安全監(jiān)控策略，首先基于業(yè)務(wù)需求以及對業(yè)務(wù)服務(wù)和資產(chǎn)的風(fēng)險評估。

　　實施日志記錄策略

　　在介紹日志提供了一個四步計劃，以幫助我們制定和實施適當?shù)挠涗浤芰Α?/p>

　　看什么

　　對于設(shè)備，應(yīng)該包括對設(shè)備狀態(tài)和合規(guī)性的監(jiān)控。還應(yīng)該記錄設(shè)備事件，包括用戶活動、網(wǎng)絡(luò)通信、身份驗證和訪問設(shè)備和服務(wù)。

　　收集和分析

　　應(yīng)該收集和分析日志數(shù)據(jù)。這將使能夠檢測和響應(yīng)安全事件。在可能的情況下，應(yīng)該自動化檢測和修復(fù)。

　　發(fā)展你的計劃

　　事件管理計劃和政策應(yīng)該包括從安全事件中學(xué)習(xí)的能力。這些課程可能會建議改進監(jiān)控設(shè)置的方法。例如，特定類型的數(shù)據(jù)可能已丟失，或者日志存儲持續(xù)時間可能太短。

　　優(yōu)先

　　在實踐中，可能無法實現(xiàn)完美的解決方案。這可能是由于成本限制，或者設(shè)備不支持完美的監(jiān)控和管理功能集。無論這些限制的來源是什么，如果要發(fā)現(xiàn)潛在的危害或安全風(fēng)險，應(yīng)該優(yōu)先考慮需要回答的問題。

　　移動設(shè)備管理系統(tǒng)和設(shè)備本身的限制將告訴哪些解決方案實際上是可以實現(xiàn)的。

　　建立 SOC

　　如果組織擁有可用資源，一種解決方案是建立安全運營中心 （SOC），將幫助組織總體上管理和監(jiān)控組織的安全風(fēng)險。

　　記錄變得容易

　　對于某些組織，尤其是較小的組織，建立 SOC 或?qū)嵤┤娴膶I(yè)監(jiān)控解決方案可能不可行。但是，至少應(yīng)該有一個有效的日志記錄系統(tǒng)。Logging Made Easy （LME）是一個 英國NCSC 開源項目，提供基本的端到端 Windows 日志記錄功能，以及一組用于查看和分析結(jié)果數(shù)據(jù)的工具。

　　LME證明，只要投入適度的時間和精力，就可以構(gòu)建基本的企業(yè)日志記錄功能。

　　技術(shù)說明

　　數(shù)據(jù)源因平臺而異

　　有效的監(jiān)控解決方案需要考慮平臺之間可用數(shù)據(jù)的差異。為了幫助解決這個問題，在下面列出了一些最重要的差異。

　　通常，設(shè)備上的日志記錄、設(shè)備合規(guī)性報告和證明功能應(yīng)與來自網(wǎng)絡(luò)層設(shè)備（如內(nèi)部防火墻、網(wǎng)絡(luò)代理、VPN 網(wǎng)關(guān)和服務(wù)日志）的監(jiān)控數(shù)據(jù)相結(jié)合。這種多維視圖將提供最有效的整體監(jiān)控能力。

　　操作系統(tǒng)數(shù)據(jù)源

　　安卓

　　對于企業(yè)擁有的設(shè)備，設(shè)置為設(shè)備所有者模式，具有單個用戶或關(guān)聯(lián)用戶，Android 支持遠程日志記錄和錯誤報告收集。與安全相關(guān)的事件（例如 Android 調(diào)試橋 （ADB） 活動、解鎖和鎖定嘗試以及應(yīng)用程序啟動）會被記錄下來并可遠程檢索。

　　可以遠程請求Android錯誤報告，但這需要用戶在共享之前進行交互批準?？捎糜谶h程查看的詳細信息取決于MDM提供商。

　　根據(jù)MDM提供商的不同，還可以使用網(wǎng)絡(luò)活動日志記錄。網(wǎng)絡(luò)活動日志記錄設(shè)備發(fā)出的 DNS 請求和 TCP 連接，這些日志可以轉(zhuǎn)發(fā)到遠程服務(wù)器進行處理和分析。

　　有限制，可以繞過網(wǎng)絡(luò)活動日志記錄，如果設(shè)備包含不屬于您的組織的用戶配置文件，則不會收集日志。

　　MDM解決方案可用于從設(shè)備檢索某些信息，這些信息可用作設(shè)備合規(guī)性策略的一部分。這些數(shù)據(jù)包括：

　　安卓版本信息

　　植根設(shè)備

　　密碼設(shè)置

　　設(shè)備數(shù)據(jù)加密

　　受限應(yīng)用

　　MDM可能能夠通過Key Attestation驗證引導(dǎo)加載程序狀態(tài)。

　　MDM可以使用Android Safety Net API作為設(shè)備合規(guī)性策略的一部分，以驗證設(shè)備的完整性。如果設(shè)備未通過合規(guī)性策略，這可用作采取適當行動的信號，例如阻止對公司資源的進一步訪問。

　　IOS

　　iOS 不支持遠程或本地歷史事件收集。

　　MDM解決方案可用于從設(shè)備檢索一些信息，包括設(shè)備狀態(tài)信息，可用于驗證對組織策略的合規(guī)性。這些數(shù)據(jù)允許檢測以下內(nèi)容：

　　iOS版本信息

　　已安裝的應(yīng)用程序

　　越獄檢測

　　密碼設(shè)置

　　受限應(yīng)用

　　蘋果系統(tǒng)

　　macOS 日志可以由設(shè)備上的本地管理員查看，也可以使用第三方遠程管理工具 （RAT） 從遠處查看。也可以使用第三方軟件來自動收集日志。

　　MDM解決方案可用于從設(shè)備檢索某些信息，包括可用作設(shè)備合規(guī)性策略一部分的設(shè)備狀態(tài)信息。這些數(shù)據(jù)包括：

　　macOS 版本信息

　　密碼設(shè)置

　　設(shè)備數(shù)據(jù)加密

　　防火墻設(shè)置

　　允許的應(yīng)用程序安裝來源

　　Chrome操作系統(tǒng)

　　可以使用MDM從設(shè)備遠程檢索有關(guān)用戶和設(shè)備狀態(tài)的有限信息。

　　Linux

　　Syslog可以在 Linux 設(shè)備上用于生成和存儲系統(tǒng)和應(yīng)用程序日志，然后可以將這些日志轉(zhuǎn)發(fā)到遠程日志服務(wù)器存儲。

　　Rsyslog也可用于許多 Linux 發(fā)行版，并且可以提供更豐富、更靈活的日志記錄功能集。

　　對于管理員感興趣的特定事件，還可以使用auditd執(zhí)行額外的審計。

　　Windows 10

　　可以使用Windows 事件收集和轉(zhuǎn)發(fā)來執(zhí)行系統(tǒng)事件收集。這些事件可以轉(zhuǎn)發(fā)到中央存儲?？梢允褂媒M策略配置轉(zhuǎn)發(fā)。

　　安裝后，Sysmon可用于監(jiān)視系統(tǒng)活動，并將數(shù)據(jù)發(fā)送到 Windows 事件日志。Windows事件收集可用于將日志轉(zhuǎn)發(fā)到集中存儲。該NCSC的記錄一點通（LME）是一個開源項目，提供使用機構(gòu)的端至端的日志解決方案SYSMON收集基于主機的日志。

　　Windows 日志分析是Azure Monitor 的一項功能。這允許將在設(shè)備上捕獲的事件日志轉(zhuǎn)發(fā)到組織的 Azure 日志分析工作區(qū)。這包括Windows 事件日志。此功能需要在設(shè)備上安裝額外的日志分析代理，也稱為 Microsoft 管理代理。

　　MDM解決方案可用于從設(shè)備檢索某些信息，包括可用作設(shè)備合規(guī)性策略一部分的設(shè)備狀態(tài)信息。這些數(shù)據(jù)包括：

　　操作系統(tǒng)版本

　　安全啟動和 BitLocker 狀態(tài)

　　防病毒設(shè)置

　　密碼設(shè)置

　　設(shè)備數(shù)據(jù)加密

　　防火墻設(shè)置

　　Windows Defender ATP是一個功能齊全的威脅防護和安全監(jiān)控平臺，可用于預(yù)防、檢測、調(diào)查和響應(yīng)威脅。它與 Windows 10 的內(nèi)置平臺安全功能（例如漏洞利用保護、攻擊面減少規(guī)則和系統(tǒng)防護）結(jié)合使用，以減少Windows 10 設(shè)備的攻擊面。它包括威脅和漏洞管理、端點檢測和響應(yīng)以及自動調(diào)查和修復(fù)等功能。它還包括Microsoft 安全分數(shù) 組織可以用來分析和改進設(shè)備安全的安全狀況。

　　Windows Defender ATP還與 Microsoft Intune 集成以管理對設(shè)備的威脅，包括設(shè)備合規(guī)性策略和條件訪問，例如，如果在設(shè)備上發(fā)現(xiàn)高風(fēng)險威脅，則能夠限制對組織服務(wù)和數(shù)據(jù)的訪問。

　　Windows 設(shè)備健康證明可以收集和報告測量的啟動數(shù)據(jù)，受可信平臺模塊 （TPM） 保護。此數(shù)據(jù)傳輸?shù)?Microsoft 健康證明服務(wù)以驗證系統(tǒng)啟動完整性，包括硬件和操作系統(tǒng)啟動組件、內(nèi)核完整性、防病毒和早期啟動驅(qū)動程序。它返回存儲在設(shè)備上的加密健康證書。這與 Microsoft Intune 集成，因此可以請求運行狀況證書并將其用于驗證特定設(shè)備運行狀況數(shù)據(jù)點，作為設(shè)備合規(guī)性策略的一部分。因此，它也可以應(yīng)用于條件訪問策略。