Linux、Solaris和Windows上的安全日志

Question

作为公司的安全部门，我们的系统管理员问我们他们需要为SIEM (安全事件和事件管理)记录什么。我们没有任何准备好的文档，我们正在寻找一种结合COBIT、PCI等综合智慧的东西，以一种我们可以向其他部门展示的方式。

Answer 1

这是一个令人震惊的大问题。您需要记录的是业务特定的需求。通常，您希望记录管理登录和更改。但这仍然是非常基本的。你需要的是更好地了解推动你组织的人对哪些系统是重要的。一个良好的业务连续性计划和一些风险评估将推动你走得更远。

我很现实，我知道得到这一点可能是不可能的。所以我可以提供这个，如果你想调整你的暹粒产品，不要一下子把所有的东西都扔进去。域控制器说，选择一些东西，比如网络交换机，在你进入下一件事情之前，获取那些发送日志并进行调优。

您希望您的SIEM只通知您一个问题，如果您每天被400个警报淹没，您的SIEM工具几乎毫无价值，您应该部署一个syslog服务器并节省大量现金。

Answer 2

这里有一个简单的答案:记录所有内容。

所有可以捕获的东西，都发送到你的暹粒服务器。您的重点应该是选择和实现一个SIEM服务器，该服务器可以处理该数据量，并且可以用于提供有意义的安全相关信息的警报和报告，而不会出现太多的误报。

您不应该专注于确定什么是重要的还是不重要的，并且在源中压制消息。如果你错了，那么当你需要数据的时候，它就会消失或者分散在端点上，只有在可能被破坏的机器上有副本。

如果你把所有东西都收集到你的中心暹粒上，那么你就有了一个法医副本，以防端点机器被破坏。如果您需要调优要转发的日志，那么现在您只需为您的警报和报告调优要处理的日志。如果发现你需要一些你认为不重要的东西，那么你就有了，就在那里，准备好了暹粒提供的集中搜索。

缺点是：

• 保存所有这些日志所需的磁盘空间
• SIEM软件足够快地处理一个庞大的日志数据库
• SIEM软件足够聪明，支持简洁的查询

优点是：

• 你会有你需要的所有原木，甚至那些你认为你不需要的
• 您对系统管理员的指导变得非常简单