記錄和保護監(jiān)控

　　使用日志記錄和監(jiān)控來識別威脅并保護智能手機、平板電腦、筆記本電腦和臺式電腦，安全監(jiān)控是識別和檢測 IT 系統(tǒng)威脅的核心。在檢測安全事件并從安全事件中恢復時，它充當我們眼睛和耳朵，使我們能夠確保根據(jù)組織策略使用設備。

　　有效的監(jiān)控依賴于適當、可靠的日志記錄和設備管理實踐。本文旨在為系統(tǒng)和網(wǎng)絡管理員提供有關現(xiàn)代平臺上可用的日志記錄和監(jiān)控選項的建議。

　　為什么要使用日志記錄和保護性監(jiān)控？

　　許多大型事件已經(jīng)顯示出針對單個主機，從攻擊者將試圖進一步加強通過獲得的橫向移動技術，如證書被盜，賬戶模擬，使用正版的網(wǎng)絡工具或已知漏洞的網(wǎng)絡協(xié)議過時的版本，以傳播和破壞額外的設備以訪問額外的數(shù)據(jù)和服務。

　　其中一些更傳統(tǒng)的技術可能不適用于純云或零信任網(wǎng)絡架構。然而，在決定是否允許訪問組織服務和數(shù)據(jù)時，監(jiān)控設備活動、健康和配置可以說變得更加重要。

　　日志記錄和監(jiān)控將幫助組織識別網(wǎng)絡上的活動模式，從而提供入侵指標。在發(fā)生事故時，記錄數(shù)據(jù)可以幫助更有效地確定危害的來源和程度。

　　為日志記錄和監(jiān)控做準備

　　可以從設備收集多種類型的事件和信號。設備監(jiān)控應成為貴組織更廣泛的日志記錄和監(jiān)控方法的一部分。很多時候，成功的入侵檢測需要多個信息源。

　　一般而言，監(jiān)控數(shù)據(jù)可能來自事件驅動的日志，例如網(wǎng)站連接或設備配置詳細信息，例如設備上運行的當前操作系統(tǒng)版本。

　　作為第一步，應該設法了解需要并能夠收集的數(shù)據(jù)類型和來源。為了幫助完成此過程，我們對下表中可能提供的數(shù)據(jù)源進行了廣泛分類。

　　類別描述

　　基于主機的日志

　　基于主機的日志記錄可以提供豐富的數(shù)據(jù)源。通常，這將包括與文件系統(tǒng)、正在運行的進程和程序加載事件等相關的事件?；谥鳈C的日志記錄還可以提供額外的事件源，例如網(wǎng)站連接和設備或服務登錄。

　　一些設備操作系統(tǒng)將支持一組豐富的內(nèi)置系統(tǒng)日志，這些日志可以轉發(fā)到集中存儲，而另一些將提供非常有限的日志集。

　　根據(jù)設備平臺，可以安裝額外的基于主機的代理來收集日志數(shù)據(jù)，超出內(nèi)置功能。但是，這帶來了需要在設備上安裝額外軟件的開銷。它還需要對基于主機的代理進行額外的管理要求。在某些情況下，安裝的代理甚至可能會帶來額外的威脅風險。

　　服務日志身份、郵件和文檔存儲等服務以及數(shù)據(jù)庫等后端服務通常會生成可收集和審查的事件或審計日志。這些類型的日志，包括對身份驗證嘗試和配置數(shù)據(jù)更改的監(jiān)控，可以提供額外的日志源，可以幫助檢測設備的入侵指標。

　　基礎設施日志根據(jù)組織網(wǎng)絡架構，防火墻、網(wǎng)絡代理和入侵保護或檢測系統(tǒng)等設備都可以提供基于網(wǎng)絡的設備事件監(jiān)控，例如網(wǎng)站連接和 DNS 請求。這有助于識別可能通過單擊網(wǎng)絡釣魚鏈接或下載惡意文件等方式連接到惡意站點的設備。更高級的功能還可以包括簽名或基于啟發(fā)式的檢測技術。

　　設備合規(guī)性

　　設備管理的一個重要功能是監(jiān)控設備狀態(tài)和配置。此數(shù)據(jù)可用于根據(jù)組織策略評估設備合規(guī)性。例如，設備操作系統(tǒng)是否是最新的？

　　因為有許多設備和一系列移動設備管理系統(tǒng)，所以對此類合規(guī)性數(shù)據(jù)的支持程度差別很大，可以根據(jù)這些數(shù)據(jù)采取的行動也是如此。在選擇在組織中使用哪些設備以及選擇移動設備管理服務時，應該考慮這一點。

　　設備認證

　　遠程設備證明旨在報告一組設備及其上運行的軟件的可信信號和測量結果。應以這樣的方式保護和報告這些測量結果，即使設備受到損害，也可以依賴這些測量結果。更強的證明形式通常將硬件支持的密鑰存儲和信任根與基于公鑰的加密操作相結合，用于存儲和報告設備狀態(tài)的可信測量。

　　對遠程設備認證的支持因設備和移動設備管理服務而異。在選擇要使用的設備以及選擇移動設備管理服務時，應該考慮這一點。

　　應該仔細考慮對這些數(shù)據(jù)源的訪問和使用。連同組織正在使用的設備的日志記錄和遠程管理功能，將決定檢測和響應安全事件或策略違規(guī)的能力。

　　如何監(jiān)控和記錄

　　制定戰(zhàn)略

　　10 個網(wǎng)絡安全步驟將幫助我們實施安全監(jiān)控策略，首先基于業(yè)務需求以及對業(yè)務服務和資產(chǎn)的風險評估。

　　實施日志記錄策略

　　在介紹日志提供了一個四步計劃，以幫助我們制定和實施適當?shù)挠涗浤芰Α?/p>

　　看什么

　　對于設備，應該包括對設備狀態(tài)和合規(guī)性的監(jiān)控。還應該記錄設備事件，包括用戶活動、網(wǎng)絡通信、身份驗證和訪問設備和服務。

　　收集和分析

　　應該收集和分析日志數(shù)據(jù)。這將使能夠檢測和響應安全事件。在可能的情況下，應該自動化檢測和修復。

　　發(fā)展你的計劃

　　事件管理計劃和政策應該包括從安全事件中學習的能力。這些課程可能會建議改進監(jiān)控設置的方法。例如，特定類型的數(shù)據(jù)可能已丟失，或者日志存儲持續(xù)時間可能太短。

　　優(yōu)先

　　在實踐中，可能無法實現(xiàn)完美的解決方案。這可能是由于成本限制，或者設備不支持完美的監(jiān)控和管理功能集。無論這些限制的來源是什么，如果要發(fā)現(xiàn)潛在的危害或安全風險，應該優(yōu)先考慮需要回答的問題。

　　移動設備管理系統(tǒng)和設備本身的限制將告訴哪些解決方案實際上是可以實現(xiàn)的。

　　建立 SOC

　　如果組織擁有可用資源，一種解決方案是建立安全運營中心 （SOC），將幫助組織總體上管理和監(jiān)控組織的安全風險。

　　記錄變得容易

　　對于某些組織，尤其是較小的組織，建立 SOC 或實施全面的專業(yè)監(jiān)控解決方案可能不可行。但是，至少應該有一個有效的日志記錄系統(tǒng)。Logging Made Easy （LME）是一個 英國NCSC 開源項目，提供基本的端到端 Windows 日志記錄功能，以及一組用于查看和分析結果數(shù)據(jù)的工具。

　　LME證明，只要投入適度的時間和精力，就可以構建基本的企業(yè)日志記錄功能。

　　技術說明

　　數(shù)據(jù)源因平臺而異

　　有效的監(jiān)控解決方案需要考慮平臺之間可用數(shù)據(jù)的差異。為了幫助解決這個問題，在下面列出了一些最重要的差異。

　　通常，設備上的日志記錄、設備合規(guī)性報告和證明功能應與來自網(wǎng)絡層設備（如內(nèi)部防火墻、網(wǎng)絡代理、VPN 網(wǎng)關和服務日志）的監(jiān)控數(shù)據(jù)相結合。這種多維視圖將提供最有效的整體監(jiān)控能力。

　　操作系統(tǒng)數(shù)據(jù)源

　　安卓

　　對于企業(yè)擁有的設備，設置為設備所有者模式，具有單個用戶或關聯(lián)用戶，Android 支持遠程日志記錄和錯誤報告收集。與安全相關的事件（例如 Android 調試橋 （ADB） 活動、解鎖和鎖定嘗試以及應用程序啟動）會被記錄下來并可遠程檢索。

　　可以遠程請求Android錯誤報告，但這需要用戶在共享之前進行交互批準?？捎糜谶h程查看的詳細信息取決于MDM提供商。

　　根據(jù)MDM提供商的不同，還可以使用網(wǎng)絡活動日志記錄。網(wǎng)絡活動日志記錄設備發(fā)出的 DNS 請求和 TCP 連接，這些日志可以轉發(fā)到遠程服務器進行處理和分析。

　　有限制，可以繞過網(wǎng)絡活動日志記錄，如果設備包含不屬于您的組織的用戶配置文件，則不會收集日志。

　　MDM解決方案可用于從設備檢索某些信息，這些信息可用作設備合規(guī)性策略的一部分。這些數(shù)據(jù)包括：

　　安卓版本信息

　　植根設備

　　密碼設置

　　設備數(shù)據(jù)加密

　　受限應用

　　MDM可能能夠通過Key Attestation驗證引導加載程序狀態(tài)。

　　MDM可以使用Android Safety Net API作為設備合規(guī)性策略的一部分，以驗證設備的完整性。如果設備未通過合規(guī)性策略，這可用作采取適當行動的信號，例如阻止對公司資源的進一步訪問。

　　IOS

　　iOS 不支持遠程或本地歷史事件收集。

　　MDM解決方案可用于從設備檢索一些信息，包括設備狀態(tài)信息，可用于驗證對組織策略的合規(guī)性。這些數(shù)據(jù)允許檢測以下內(nèi)容：

　　iOS版本信息

　　已安裝的應用程序

　　越獄檢測

　　密碼設置

　　受限應用

　　蘋果系統(tǒng)

　　macOS 日志可以由設備上的本地管理員查看，也可以使用第三方遠程管理工具 （RAT） 從遠處查看。也可以使用第三方軟件來自動收集日志。

　　MDM解決方案可用于從設備檢索某些信息，包括可用作設備合規(guī)性策略一部分的設備狀態(tài)信息。這些數(shù)據(jù)包括：

　　macOS 版本信息

　　密碼設置

　　設備數(shù)據(jù)加密

　　防火墻設置

　　允許的應用程序安裝來源

　　Chrome操作系統(tǒng)

　　可以使用MDM從設備遠程檢索有關用戶和設備狀態(tài)的有限信息。

　　Linux

　　Syslog可以在 Linux 設備上用于生成和存儲系統(tǒng)和應用程序日志，然后可以將這些日志轉發(fā)到遠程日志服務器存儲。

　　Rsyslog也可用于許多 Linux 發(fā)行版，并且可以提供更豐富、更靈活的日志記錄功能集。

　　對于管理員感興趣的特定事件，還可以使用auditd執(zhí)行額外的審計。

　　Windows 10

　　可以使用Windows 事件收集和轉發(fā)來執(zhí)行系統(tǒng)事件收集。這些事件可以轉發(fā)到中央存儲。可以使用組策略配置轉發(fā)。

　　安裝后，Sysmon可用于監(jiān)視系統(tǒng)活動，并將數(shù)據(jù)發(fā)送到 Windows 事件日志。Windows事件收集可用于將日志轉發(fā)到集中存儲。該NCSC的記錄一點通（LME）是一個開源項目，提供使用機構的端至端的日志解決方案SYSMON收集基于主機的日志。

　　Windows 日志分析是Azure Monitor 的一項功能。這允許將在設備上捕獲的事件日志轉發(fā)到組織的 Azure 日志分析工作區(qū)。這包括Windows 事件日志。此功能需要在設備上安裝額外的日志分析代理，也稱為 Microsoft 管理代理。

　　MDM解決方案可用于從設備檢索某些信息，包括可用作設備合規(guī)性策略一部分的設備狀態(tài)信息。這些數(shù)據(jù)包括：

　　操作系統(tǒng)版本

　　安全啟動和 BitLocker 狀態(tài)

　　防病毒設置

　　密碼設置

　　設備數(shù)據(jù)加密

　　防火墻設置

　　Windows Defender ATP是一個功能齊全的威脅防護和安全監(jiān)控平臺，可用于預防、檢測、調查和響應威脅。它與 Windows 10 的內(nèi)置平臺安全功能（例如漏洞利用保護、攻擊面減少規(guī)則和系統(tǒng)防護）結合使用，以減少Windows 10 設備的攻擊面。它包括威脅和漏洞管理、端點檢測和響應以及自動調查和修復等功能。它還包括Microsoft 安全分數(shù) 組織可以用來分析和改進設備安全的安全狀況。

　　Windows Defender ATP還與 Microsoft Intune 集成以管理對設備的威脅，包括設備合規(guī)性策略和條件訪問，例如，如果在設備上發(fā)現(xiàn)高風險威脅，則能夠限制對組織服務和數(shù)據(jù)的訪問。

　　Windows 設備健康證明可以收集和報告測量的啟動數(shù)據(jù)，受可信平臺模塊 （TPM） 保護。此數(shù)據(jù)傳輸?shù)?Microsoft 健康證明服務以驗證系統(tǒng)啟動完整性，包括硬件和操作系統(tǒng)啟動組件、內(nèi)核完整性、防病毒和早期啟動驅動程序。它返回存儲在設備上的加密健康證書。這與 Microsoft Intune 集成，因此可以請求運行狀況證書并將其用于驗證特定設備運行狀況數(shù)據(jù)點，作為設備合規(guī)性策略的一部分。因此，它也可以應用于條件訪問策略。