遵循操作模型页面中列出的原则后,您应该对您的系统及其体系结构有相当全面的了解。您还应该了解您试图在系统中检测的威胁和攻击的复杂性。
下一步是识别组织(或客户系统)内的日志源,这些日志源将为您提供在执行安全监控时有用的信息。这就是威胁建模的用处,因为它使您能够识别有价值的日志源,并提供为什么应该收集它们的理由。
除了用于检测之外,日志源对于执行事件响应也至关重要,因为它们可以在发生事件时提供有关系统行为的有价值的上下文。
数据源类型
为了保持与技术无关的目标,本指南不会枚举每种类型的日志源。然而,应考虑的来源可分为四大类。
- 应用——可以说是最广泛和最多样化的范围。应用程序提供的日志通常可以提供对用户操作的宝贵洞察。
- 主机- 这些日志通常指操作系统和应用程序日志。通常,获取这些内容需要将代理部署到设备上。NCSC 日志记录变得简单就是一个例子。
- 网络- 来自网络设备和基础设施的日志可以提供有关整个资产中连接的设备和服务的重要信息。
- 云- 云日志可以包含上述所有数据源,但有些服务不属于这些类别,例如云管理和计算服务。这些服务通常会提供自己的日志,其中包含大量有用的信息。
“必备”日志
在深入研究系统地识别日志源的过程之前,有一些快速的监控方法。
- 身份验证- 这些日志将允许 SOC 识别用户登录系统或尝试登录系统的位置和时间。当对手试图未经授权访问系统时,这些日志会发出巨大的危险信号。
- 安全控制- 这可以包括反恶意软件、安全控制(例如防火墙)、访问控制列表更改以及在组织内执行安全功能的任何内容。与上面类似,这些控件提供的日志是必须的,因为它们将提供出现问题的第一个指示。
- DNS - 这些日志对于识别组织内的恶意行为非常有价值。例如,“EUD123 已请求 www[.]n0t-m4lw4re[.]com”——这可能会提供受感染设备的第一个指示,从而允许 SOC 进行干预。