記錄和保護(hù)監(jiān)控

　　使用日志記錄和監(jiān)控來(lái)識(shí)別威脅并保護(hù)智能手機(jī)、平板電腦、筆記本電腦和臺(tái)式電腦，安全監(jiān)控是識(shí)別和檢測(cè) IT 系統(tǒng)威脅的核心。在檢測(cè)安全事件并從安全事件中恢復(fù)時(shí)，它充當(dāng)我們眼睛和耳朵，使我們能夠確保根據(jù)組織策略使用設(shè)備。

　　有效的監(jiān)控依賴于適當(dāng)、可靠的日志記錄和設(shè)備管理實(shí)踐。本文旨在為系統(tǒng)和網(wǎng)絡(luò)管理員提供有關(guān)現(xiàn)代平臺(tái)上可用的日志記錄和監(jiān)控選項(xiàng)的建議。

　　為什么要使用日志記錄和保護(hù)性監(jiān)控？

　　許多大型事件已經(jīng)顯示出針對(duì)單個(gè)主機(jī)，從攻擊者將試圖進(jìn)一步加強(qiáng)通過(guò)獲得的橫向移動(dòng)技術(shù)，如證書被盜，賬戶模擬，使用正版的網(wǎng)絡(luò)工具或已知漏洞的網(wǎng)絡(luò)協(xié)議過(guò)時(shí)的版本，以傳播和破壞額外的設(shè)備以訪問(wèn)額外的數(shù)據(jù)和服務(wù)。

　　其中一些更傳統(tǒng)的技術(shù)可能不適用于純?cè)苹蛄阈湃尉W(wǎng)絡(luò)架構(gòu)。然而，在決定是否允許訪問(wèn)組織服務(wù)和數(shù)據(jù)時(shí)，監(jiān)控設(shè)備活動(dòng)、健康和配置可以說(shuō)變得更加重要。

　　日志記錄和監(jiān)控將幫助組織識(shí)別網(wǎng)絡(luò)上的活動(dòng)模式，從而提供入侵指標(biāo)。在發(fā)生事故時(shí)，記錄數(shù)據(jù)可以幫助更有效地確定危害的來(lái)源和程度。

　　為日志記錄和監(jiān)控做準(zhǔn)備

　　可以從設(shè)備收集多種類型的事件和信號(hào)。設(shè)備監(jiān)控應(yīng)成為貴組織更廣泛的日志記錄和監(jiān)控方法的一部分。很多時(shí)候，成功的入侵檢測(cè)需要多個(gè)信息源。

　　一般而言，監(jiān)控?cái)?shù)據(jù)可能來(lái)自事件驅(qū)動(dòng)的日志，例如網(wǎng)站連接或設(shè)備配置詳細(xì)信息，例如設(shè)備上運(yùn)行的當(dāng)前操作系統(tǒng)版本。

　　作為第一步，應(yīng)該設(shè)法了解需要并能夠收集的數(shù)據(jù)類型和來(lái)源。為了幫助完成此過(guò)程，我們對(duì)下表中可能提供的數(shù)據(jù)源進(jìn)行了廣泛分類。

　　類別描述

　　基于主機(jī)的日志

　　基于主機(jī)的日志記錄可以提供豐富的數(shù)據(jù)源。通常，這將包括與文件系統(tǒng)、正在運(yùn)行的進(jìn)程和程序加載事件等相關(guān)的事件?；谥鳈C(jī)的日志記錄還可以提供額外的事件源，例如網(wǎng)站連接和設(shè)備或服務(wù)登錄。

　　一些設(shè)備操作系統(tǒng)將支持一組豐富的內(nèi)置系統(tǒng)日志，這些日志可以轉(zhuǎn)發(fā)到集中存儲(chǔ)，而另一些將提供非常有限的日志集。

　　根據(jù)設(shè)備平臺(tái)，可以安裝額外的基于主機(jī)的代理來(lái)收集日志數(shù)據(jù)，超出內(nèi)置功能。但是，這帶來(lái)了需要在設(shè)備上安裝額外軟件的開(kāi)銷。它還需要對(duì)基于主機(jī)的代理進(jìn)行額外的管理要求。在某些情況下，安裝的代理甚至可能會(huì)帶來(lái)額外的威脅風(fēng)險(xiǎn)。

　　服務(wù)日志身份、郵件和文檔存儲(chǔ)等服務(wù)以及數(shù)據(jù)庫(kù)等后端服務(wù)通常會(huì)生成可收集和審查的事件或?qū)徲?jì)日志。這些類型的日志，包括對(duì)身份驗(yàn)證嘗試和配置數(shù)據(jù)更改的監(jiān)控，可以提供額外的日志源，可以幫助檢測(cè)設(shè)備的入侵指標(biāo)。

　　基礎(chǔ)設(shè)施日志根據(jù)組織網(wǎng)絡(luò)架構(gòu)，防火墻、網(wǎng)絡(luò)代理和入侵保護(hù)或檢測(cè)系統(tǒng)等設(shè)備都可以提供基于網(wǎng)絡(luò)的設(shè)備事件監(jiān)控，例如網(wǎng)站連接和 DNS 請(qǐng)求。這有助于識(shí)別可能通過(guò)單擊網(wǎng)絡(luò)釣魚鏈接或下載惡意文件等方式連接到惡意站點(diǎn)的設(shè)備。更高級(jí)的功能還可以包括簽名或基于啟發(fā)式的檢測(cè)技術(shù)。

　　設(shè)備合規(guī)性

　　設(shè)備管理的一個(gè)重要功能是監(jiān)控設(shè)備狀態(tài)和配置。此數(shù)據(jù)可用于根據(jù)組織策略評(píng)估設(shè)備合規(guī)性。例如，設(shè)備操作系統(tǒng)是否是最新的？

　　因?yàn)橛性S多設(shè)備和一系列移動(dòng)設(shè)備管理系統(tǒng)，所以對(duì)此類合規(guī)性數(shù)據(jù)的支持程度差別很大，可以根據(jù)這些數(shù)據(jù)采取的行動(dòng)也是如此。在選擇在組織中使用哪些設(shè)備以及選擇移動(dòng)設(shè)備管理服務(wù)時(shí)，應(yīng)該考慮這一點(diǎn)。

　　設(shè)備認(rèn)證

　　遠(yuǎn)程設(shè)備證明旨在報(bào)告一組設(shè)備及其上運(yùn)行的軟件的可信信號(hào)和測(cè)量結(jié)果。應(yīng)以這樣的方式保護(hù)和報(bào)告這些測(cè)量結(jié)果，即使設(shè)備受到損害，也可以依賴這些測(cè)量結(jié)果。更強(qiáng)的證明形式通常將硬件支持的密鑰存儲(chǔ)和信任根與基于公鑰的加密操作相結(jié)合，用于存儲(chǔ)和報(bào)告設(shè)備狀態(tài)的可信測(cè)量。

　　對(duì)遠(yuǎn)程設(shè)備認(rèn)證的支持因設(shè)備和移動(dòng)設(shè)備管理服務(wù)而異。在選擇要使用的設(shè)備以及選擇移動(dòng)設(shè)備管理服務(wù)時(shí)，應(yīng)該考慮這一點(diǎn)。

　　應(yīng)該仔細(xì)考慮對(duì)這些數(shù)據(jù)源的訪問(wèn)和使用。連同組織正在使用的設(shè)備的日志記錄和遠(yuǎn)程管理功能，將決定檢測(cè)和響應(yīng)安全事件或策略違規(guī)的能力。

　　如何監(jiān)控和記錄

　　制定戰(zhàn)略

　　10 個(gè)網(wǎng)絡(luò)安全步驟將幫助我們實(shí)施安全監(jiān)控策略，首先基于業(yè)務(wù)需求以及對(duì)業(yè)務(wù)服務(wù)和資產(chǎn)的風(fēng)險(xiǎn)評(píng)估。

　　實(shí)施日志記錄策略

　　在介紹日志提供了一個(gè)四步計(jì)劃，以幫助我們制定和實(shí)施適當(dāng)?shù)挠涗浤芰Α?/p>

　　看什么

　　對(duì)于設(shè)備，應(yīng)該包括對(duì)設(shè)備狀態(tài)和合規(guī)性的監(jiān)控。還應(yīng)該記錄設(shè)備事件，包括用戶活動(dòng)、網(wǎng)絡(luò)通信、身份驗(yàn)證和訪問(wèn)設(shè)備和服務(wù)。

　　收集和分析

　　應(yīng)該收集和分析日志數(shù)據(jù)。這將使能夠檢測(cè)和響應(yīng)安全事件。在可能的情況下，應(yīng)該自動(dòng)化檢測(cè)和修復(fù)。

　　發(fā)展你的計(jì)劃

　　事件管理計(jì)劃和政策應(yīng)該包括從安全事件中學(xué)習(xí)的能力。這些課程可能會(huì)建議改進(jìn)監(jiān)控設(shè)置的方法。例如，特定類型的數(shù)據(jù)可能已丟失，或者日志存儲(chǔ)持續(xù)時(shí)間可能太短。

　　優(yōu)先

　　在實(shí)踐中，可能無(wú)法實(shí)現(xiàn)完美的解決方案。這可能是由于成本限制，或者設(shè)備不支持完美的監(jiān)控和管理功能集。無(wú)論這些限制的來(lái)源是什么，如果要發(fā)現(xiàn)潛在的危害或安全風(fēng)險(xiǎn)，應(yīng)該優(yōu)先考慮需要回答的問(wèn)題。

　　移動(dòng)設(shè)備管理系統(tǒng)和設(shè)備本身的限制將告訴哪些解決方案實(shí)際上是可以實(shí)現(xiàn)的。

　　建立 SOC

　　如果組織擁有可用資源，一種解決方案是建立安全運(yùn)營(yíng)中心 （SOC），將幫助組織總體上管理和監(jiān)控組織的安全風(fēng)險(xiǎn)。

　　記錄變得容易

　　對(duì)于某些組織，尤其是較小的組織，建立 SOC 或?qū)嵤┤娴膶I(yè)監(jiān)控解決方案可能不可行。但是，至少應(yīng)該有一個(gè)有效的日志記錄系統(tǒng)。Logging Made Easy （LME）是一個(gè) 英國(guó)NCSC 開(kāi)源項(xiàng)目，提供基本的端到端 Windows 日志記錄功能，以及一組用于查看和分析結(jié)果數(shù)據(jù)的工具。

　　LME證明，只要投入適度的時(shí)間和精力，就可以構(gòu)建基本的企業(yè)日志記錄功能。

　　技術(shù)說(shuō)明

　　數(shù)據(jù)源因平臺(tái)而異

　　有效的監(jiān)控解決方案需要考慮平臺(tái)之間可用數(shù)據(jù)的差異。為了幫助解決這個(gè)問(wèn)題，在下面列出了一些最重要的差異。

　　通常，設(shè)備上的日志記錄、設(shè)備合規(guī)性報(bào)告和證明功能應(yīng)與來(lái)自網(wǎng)絡(luò)層設(shè)備（如內(nèi)部防火墻、網(wǎng)絡(luò)代理、VPN 網(wǎng)關(guān)和服務(wù)日志）的監(jiān)控?cái)?shù)據(jù)相結(jié)合。這種多維視圖將提供最有效的整體監(jiān)控能力。

　　操作系統(tǒng)數(shù)據(jù)源

　　安卓

　　對(duì)于企業(yè)擁有的設(shè)備，設(shè)置為設(shè)備所有者模式，具有單個(gè)用戶或關(guān)聯(lián)用戶，Android 支持遠(yuǎn)程日志記錄和錯(cuò)誤報(bào)告收集。與安全相關(guān)的事件（例如 Android 調(diào)試橋 （ADB） 活動(dòng)、解鎖和鎖定嘗試以及應(yīng)用程序啟動(dòng)）會(huì)被記錄下來(lái)并可遠(yuǎn)程檢索。

　　可以遠(yuǎn)程請(qǐng)求Android錯(cuò)誤報(bào)告，但這需要用戶在共享之前進(jìn)行交互批準(zhǔn)?？捎糜谶h(yuǎn)程查看的詳細(xì)信息取決于MDM提供商。

　　根據(jù)MDM提供商的不同，還可以使用網(wǎng)絡(luò)活動(dòng)日志記錄。網(wǎng)絡(luò)活動(dòng)日志記錄設(shè)備發(fā)出的 DNS 請(qǐng)求和 TCP 連接，這些日志可以轉(zhuǎn)發(fā)到遠(yuǎn)程服務(wù)器進(jìn)行處理和分析。

　　有限制，可以繞過(guò)網(wǎng)絡(luò)活動(dòng)日志記錄，如果設(shè)備包含不屬于您的組織的用戶配置文件，則不會(huì)收集日志。

　　MDM解決方案可用于從設(shè)備檢索某些信息，這些信息可用作設(shè)備合規(guī)性策略的一部分。這些數(shù)據(jù)包括：

　　安卓版本信息

　　植根設(shè)備

　　密碼設(shè)置

　　設(shè)備數(shù)據(jù)加密

　　受限應(yīng)用

　　MDM可能能夠通過(guò)Key Attestation驗(yàn)證引導(dǎo)加載程序狀態(tài)。

　　MDM可以使用Android Safety Net API作為設(shè)備合規(guī)性策略的一部分，以驗(yàn)證設(shè)備的完整性。如果設(shè)備未通過(guò)合規(guī)性策略，這可用作采取適當(dāng)行動(dòng)的信號(hào)，例如阻止對(duì)公司資源的進(jìn)一步訪問(wèn)。

　　IOS

　　iOS 不支持遠(yuǎn)程或本地歷史事件收集。

　　MDM解決方案可用于從設(shè)備檢索一些信息，包括設(shè)備狀態(tài)信息，可用于驗(yàn)證對(duì)組織策略的合規(guī)性。這些數(shù)據(jù)允許檢測(cè)以下內(nèi)容：

　　iOS版本信息

　　已安裝的應(yīng)用程序

　　越獄檢測(cè)

　　密碼設(shè)置

　　受限應(yīng)用

　　蘋果系統(tǒng)

　　macOS 日志可以由設(shè)備上的本地管理員查看，也可以使用第三方遠(yuǎn)程管理工具 （RAT） 從遠(yuǎn)處查看。也可以使用第三方軟件來(lái)自動(dòng)收集日志。

　　MDM解決方案可用于從設(shè)備檢索某些信息，包括可用作設(shè)備合規(guī)性策略一部分的設(shè)備狀態(tài)信息。這些數(shù)據(jù)包括：

　　macOS 版本信息

　　密碼設(shè)置

　　設(shè)備數(shù)據(jù)加密

　　防火墻設(shè)置

　　允許的應(yīng)用程序安裝來(lái)源

　　Chrome操作系統(tǒng)

　　可以使用MDM從設(shè)備遠(yuǎn)程檢索有關(guān)用戶和設(shè)備狀態(tài)的有限信息。

　　Linux

　　Syslog可以在 Linux 設(shè)備上用于生成和存儲(chǔ)系統(tǒng)和應(yīng)用程序日志，然后可以將這些日志轉(zhuǎn)發(fā)到遠(yuǎn)程日志服務(wù)器存儲(chǔ)。

　　Rsyslog也可用于許多 Linux 發(fā)行版，并且可以提供更豐富、更靈活的日志記錄功能集。

　　對(duì)于管理員感興趣的特定事件，還可以使用auditd執(zhí)行額外的審計(jì)。

　　Windows 10

　　可以使用Windows 事件收集和轉(zhuǎn)發(fā)來(lái)執(zhí)行系統(tǒng)事件收集。這些事件可以轉(zhuǎn)發(fā)到中央存儲(chǔ)。可以使用組策略配置轉(zhuǎn)發(fā)。

　　安裝后，Sysmon可用于監(jiān)視系統(tǒng)活動(dòng)，并將數(shù)據(jù)發(fā)送到 Windows 事件日志。Windows事件收集可用于將日志轉(zhuǎn)發(fā)到集中存儲(chǔ)。該NCSC的記錄一點(diǎn)通（LME）是一個(gè)開(kāi)源項(xiàng)目，提供使用機(jī)構(gòu)的端至端的日志解決方案SYSMON收集基于主機(jī)的日志。

　　Windows 日志分析是Azure Monitor 的一項(xiàng)功能。這允許將在設(shè)備上捕獲的事件日志轉(zhuǎn)發(fā)到組織的 Azure 日志分析工作區(qū)。這包括Windows 事件日志。此功能需要在設(shè)備上安裝額外的日志分析代理，也稱為 Microsoft 管理代理。

　　MDM解決方案可用于從設(shè)備檢索某些信息，包括可用作設(shè)備合規(guī)性策略一部分的設(shè)備狀態(tài)信息。這些數(shù)據(jù)包括：

　　操作系統(tǒng)版本

　　安全啟動(dòng)和 BitLocker 狀態(tài)

　　防病毒設(shè)置

　　密碼設(shè)置

　　設(shè)備數(shù)據(jù)加密

　　防火墻設(shè)置

　　Windows Defender ATP是一個(gè)功能齊全的威脅防護(hù)和安全監(jiān)控平臺(tái)，可用于預(yù)防、檢測(cè)、調(diào)查和響應(yīng)威脅。它與 Windows 10 的內(nèi)置平臺(tái)安全功能（例如漏洞利用保護(hù)、攻擊面減少規(guī)則和系統(tǒng)防護(hù)）結(jié)合使用，以減少Windows 10 設(shè)備的攻擊面。它包括威脅和漏洞管理、端點(diǎn)檢測(cè)和響應(yīng)以及自動(dòng)調(diào)查和修復(fù)等功能。它還包括Microsoft 安全分?jǐn)?shù) 組織可以用來(lái)分析和改進(jìn)設(shè)備安全的安全狀況。

　　Windows Defender ATP還與 Microsoft Intune 集成以管理對(duì)設(shè)備的威脅，包括設(shè)備合規(guī)性策略和條件訪問(wèn)，例如，如果在設(shè)備上發(fā)現(xiàn)高風(fēng)險(xiǎn)威脅，則能夠限制對(duì)組織服務(wù)和數(shù)據(jù)的訪問(wèn)。

　　Windows 設(shè)備健康證明可以收集和報(bào)告測(cè)量的啟動(dòng)數(shù)據(jù)，受可信平臺(tái)模塊 （TPM） 保護(hù)。此數(shù)據(jù)傳輸?shù)?Microsoft 健康證明服務(wù)以驗(yàn)證系統(tǒng)啟動(dòng)完整性，包括硬件和操作系統(tǒng)啟動(dòng)組件、內(nèi)核完整性、防病毒和早期啟動(dòng)驅(qū)動(dòng)程序。它返回存儲(chǔ)在設(shè)備上的加密健康證書。這與 Microsoft Intune 集成，因此可以請(qǐng)求運(yùn)行狀況證書并將其用于驗(yàn)證特定設(shè)備運(yùn)行狀況數(shù)據(jù)點(diǎn)，作為設(shè)備合規(guī)性策略的一部分。因此，它也可以應(yīng)用于條件訪問(wèn)策略。