安全审计基础知识
需要定期检查网络中发生的安全事件确保及时发现风险。
安全报告一直以来都是鉴定IT安全和合规性的最重要数据。
事实上,一些IT合规性法规(如PCI DSS和ISO 270001) 强制要求企业使用日志管理系统来审核日志数据。
安全团队必须实施一个流程来审核安全事件,作为其日常运营的一部分。
实现此目标最佳方法是使用安全信息和事件管理(SIEM)工具 。
SIEM工具可以解析来自不同事件源(如服务器,域控制器,防火墙和数据库)的日志数据,并生成可视化安全信息报表。
这些报表不仅可以帮助您掌握安全威胁,还可以帮助您证明审计的合规性。
每个安全团队都需要的十种重要审计报告:
1. 基于事件严重级别的报表
日志可以描述事件的严重级别,根据轻重性来分离和查看日志是一种高效的方法,对于满足不同的IT合规性要求非常重要。
2. 登录活动
您需要知道谁登录到工作站,服务器,数据库和其他系统,跟踪登录事件将帮助您在最早阶段检测到许多攻击,因为大多数攻击都是从登录事件开始。跟踪登录的成功和失败,并留意失败的记录,就能发现新的安全威胁,如暴力密码攻击等。
3. 管理员操作
不同的合规性法规要求企业对特权用户执行的操作进行审计跟踪,这是因为有特权的管理员执行的操作可能会无意中导致违规。
4. 数据访问和修改
实时审计文件服务器活动是确保数据完整性和机密性的重要条件,跟踪文件创建,删除,访问,修改和重命名,对存储数据的数据库和其他系统也应用相同的方法。
5. 防火墙流量分析
了解防火墙的流量信息非常重要,根据源,目标和协议分析流量。在发生违规行为时,这些数据在合规调查中也发挥着重要作用。
6. 系统事件
网络攻击不可避免的会产生系统事件,虽然必须跟踪多个系统事件,但服务器关闭/重启,特别是新软件/服务的安装是潜在的威胁(IoC)。
7. Web服务器活动
必须审核Web服务器的使用情况,包括站点访问者,请求,HTTP状态代码和文件上载/下载,以尽早检测和应对威胁。更进一步的说,还可以跟踪已知的Web服务器攻击,如跨站点脚本(XSS)和SQL注入。
8. Active Directory更改
实时审核Active Directory更改,如对用户,组,计算机和GPO;因为该更改可能会影响企业安全,如果出现更改导致的意外情况,会立即还原此更改。
9.策略更改
策略更改可能会导致恶意攻击,可以确保已批准的路由器配置更改,或防火墙规则添加,删除和修改。必须提醒,任何更改都需经过审核和验证。
10.用户异常行为分析
在当今的网络环境中,您需要的不仅仅是基于规则的基本报表和警报。全面的SIEM解决方案附带了一个用户行为分析(UBA)组件,该组件使用AI机器学习技术来分析用户行为并自动检测异常。
使用ManageEngine Log360轻松进行审核
Log36 0 日志管理工具Event Log Analyzer和实时Active Directory变更审计工具ADAudit Plus 的集成- 是一款全面的SIEM解决方案,包含1,000 多个预置审计报告,包括上述10种报告。Log360 精心设计的解析规则,为安全团队提供十分安全的操作。
一旦成功添加设备则开始生成日志消息,就会自动生成所有报告。更进一步,所有报告都可以与警报相关联 。例如,您可以为感兴趣的安全事件配置警报,例如帐户锁定,添加到Active Directory中特权组的成员等。这些警报将通过电子邮件或短信自动发送给您。