Данный пост предоставляет практикам кибербезопасности детальные рекомендации по журналам, которые должны быть приоритетными для приема платформой Security Information and Event Management ( SIEM ). Рекомендации следует рассматривать как общие советы; каждая организация должна адаптировать сбор, централизацию и анализ журналов к своей конкретной среде и профилю рисков.
Ключевые принципы:
- Постепенное наращивание: Практики должны применять подход постепенного увеличения числа и типов источников данных, принимаемых SIEM, а не добавлять их все сразу
- Подход, ориентированный : Blue Team могут использовать руководство по приоритетным Event ID как отправную точку для поиска активности противника
- Соответствие среде: Организации должны обращаться к специфическим рекомендациям поставщиков для получения информации, адаптированной к каждой операционной системе
Эта публикация является третьей в серии руководств по платформам SIEM/SOAR:
- Гайд для руководителей - определяет платформы, описывает преимущества и вызовы
- Руководство для специалистов - предоставляет принципы лучших практик для внедрения
- Приоритетные журналы для приема SIEM - детальные технические рекомендации по источникам логов
Соображения по рискам
Решения по логированию должны основываться на конкретной среде и профиле рисков организации. Для каждого источника данных ваша организация должна оценить:
- Цель использования: Авторы не рекомендуют логирование ради логирования. Каждый источник должен иметь четкую цель или сценарий использования.
- Приоритизация: Источники данных высокого приоритета должны приниматься в новые развертывания SIEM в первую очередь, и их состояние должно регулярно проверяться.
- Объем журналов: Например, объем журналов межсетевого экрана или DNS может затмить важность получаемой информации.
- Аналитическая ценность: Высокообъемные источники данных могут запрашиваться для выявления аномалий во времени или корреляций с другими источниками данных.
Архитектурные соображения
Архитектура логирования включает двухэтапный процесс:
- Создание, сбор и передача журналов в точку централизации
- Прием этих журналов SIEM, либо напрямую от источника, либо из точки централизации
Организации, вероятно, имеют правовые или нормативные причины для логирования различных источников и отправки этих журналов в централизованное место. Однако авторы руководства настоятельно не рекомендуют использовать SIEM как центральный репозиторий для всех журналов.
Принцип: SIEM должен использоваться только для централизации конкретных журналов безопасности согласно профилю рисков организации.
Приоритетные категории логирования
Следующие категории источников данных представлены в свободном порядке приоритизации:
Приоритет 1-4 (Критический)
- EDR логи - Журналы обнаружения и реагирования конечных точек
- Сетевые устройства - Межсетевые экраны, маршрутизаторы, VPN
- Microsoft Domain Controller - Контроллеры домена Active Directory
- AD и доменные службы - Журналы безопасности доменных служб
Приоритет 5-8 (Высокий)
- Windows конечные точки - Журналы рабочих станций и серверов Windows
- Системы виртуализации - Гипервизоры и виртуальные машины
- Операционные технологии - Промышленные системы управления
- Облачные платформы - AWS, Azure, GCP
Приоритет 9-14 (Средний)
- Контейнеры - Docker, Kubernetes
- Базы данных - Журналы СУБД
- Мобильные устройства - MDM журналы
- Windows DNS сервер - Аналитические журналы событий
- Linux конечные точки - Журналы аудита Linux
- Apple MacOS - Журналы конечных точек MacOS
Детальные рекомендации по логам
EDR логи (Endpoint Detection and Response)
| Категория | Подкатегория | Событие |
|---|---|---|
| AmCache | Файл реестра, используемый при создании процесса | Все |
| Антивирус | Обнаружение сигнатур, репутационные оповещения | Все |
| Сетевые соединения | Порты, протоколы, IP-адреса | Все активные |
| Файловые события | Неудачные попытки доступа, выполнение, загрузки | Все |
| Системная информация | Имя системы, хостнейм, временная зона, ОС | Все |
| Windows Registry | Время модификации, изменения, расположение | Все |
| История команд | Недавно выполненные команды | Все |
Сетевые устройства
| Функция | Подкатегория | Событие |
|---|---|---|
| Межсетевой экран | Входящие потоки данных | Заблокированные |
| Межсетевой экран | Исходящие потоки | Заблокированные/Разрешенные |
| Маршрутизаторы/Коммутаторы | Входящий/Исходящий трафик | NetFlow |
| VPN | Разрешенные/Заблокированные соединения | Все |
| Web Прокси | Журналы веб-запросов, SSL/TLS инспекция | Все |
| Почтовые устройства | IP и доменная репутация, отправители, получатели | Все |
Microsoft Domain Controller - Ключевые Event ID
| Категория | Подкатегория | Event ID |
|---|---|---|
| Вход в учетную запись | Проверка учетных данных | 4776 |
| Kerberos | Служба аутентификации | 4768 |
| Kerberos | Операции служебного билета | 4769 |
| Управление учетными записями | Управление компьютерными учетными записями | 4741, 4742, 4743 |
| Управление группами безопасности | Добавление/удаление членов группы | 4728, 4729, 4732, 4733 |
| Вход/Выход | Успешный/Неудачный вход | 4624, 4625 |
| Службы каталогов | Изменения объектов каталога | 5136, 5137, 5141 |
| Отслеживание процессов | Создание процесса | 4688 |
Windows конечные точки - Ключевые Event ID
| Категория | Подкатегория | Event ID |
|---|---|---|
| Журналы приложений Windows | Создание процесса (Sysmon) | 1 |
| Журналы приложений Windows | Сбои (включая сообщения об ошибках) | 1001 |
| Планировщик задач Windows | Задача, запускаемая при входе в систему | 119 |
| PowerShell | События модуля/блока скрипта | 4103, 4104 |
| Журналы безопасности Windows | Журнал аудита очищен | 1102 |
| Журналы безопасности Windows | Новый процесс создан | 4688 |
| Журналы безопасности Windows | Служба установлена | 4697, 7045 |
| Журналы безопасности Windows | Запланированная задача создана/обновлена | 4698, 4702 |
| AppLocker | Файл заблокирован/Политика изменена | 8004, 8001 |
Облачные платформы
Amazon Web Services
| Сервис | Тип журналов |
|---|---|
| CloudTrail | Все логи API |
| VPC | Network Flow Logs |
| S3 | Server Access Logs |
| IAM | Все события аутентификации |
| EC2 | Создание инстансов, модификация групп безопасности |
Microsoft Azure
| Сервис | Тип журналов |
|---|---|
| Entra ID | Unified Audit Log |
| Azure AD | Signin Logs |
| Office 365 | Unified Audit Log |
| Virtual Machines | OS Logs (Linux/Windows) |
| Storage | Container Logs |
Конечные точки Linux
| Категория | Подкатегория | Событие |
|---|---|---|
| Пользовательский доступ | Чувствительные директории (/sbin) | Все |
| Аутентификация | SSH сессии, входы/выходы | Все |
| Привилегированные события | Sudo/root привилегии | Модификация |
| Системные события | Монтирование дисков, загрузка модулей | Все |
| Файловые события | Неуспешные попытки доступа | Все |
| Сетевые события | Изменения хостнейма, соединения | Все |
Базы данных
| Категория | Подкатегория | Событие |
|---|---|---|
| Аутентификация пользователей | Вход (Успех/Неудача) | Все |
| Доступ и действия пользователей | Доступ к таблицам и объектам | Все |
| Выполнение запросов | Выполнение запросов, метод, время выполнения | Все |
| Конфигурация системы | Изменения структуры БД, обновления версий | Все |
Настройки групповых политик
Для генерации конкретных Event ID в источниках журналов требуются следующие изменения групповых политик:
Domain Controller Group Policy
| Event ID | Объект групповой политики |
|---|---|
| 4768, 4769 | Audit Kerberos Authentication Service |
| 4741, 4742, 4743 | Audit Computer Account Management |
| 4728, 4729, 4732, 4733 | Audit Security Group Management |
| 4624, 4625 | Audit Logon Events |
| 4688 | Audit Process Creation |
| 5136, 5137, 5141 | Audit Directory Service Changes |
Windows Endpoint Group Policy
| Event ID | Объект групповой политики |
|---|---|
| 4103 | Turn on Module Logging |
| 4104 | Turn on PowerShell Script Block Logging |
| 4624, 4625, 4648 | Audit Logon Events |
| 4688 | Audit Process Creation |
| 4697 | Audit Security System Extension |
| 8000, 8004, 8007 | AppLocker Policies |
Важные замечания по настройке:
- Постепенное внедрение: Начните с источников высокого приоритета и постепенно добавляйте остальные
- Тестирование производительности: Мониторьте влияние на производительность системы при включении логирования
- Хранение и архивирование: Планируйте политики хранения с учетом объемов генерируемых данных
- Корреляция событий: Используйте временные метки и уникальные идентификаторы для корреляции событий между источниками
Заключение
Данные рекомендации по приоритетным журналам предоставляют отправную точку для типичной корпоративной сетевой среды. Организации должны адаптировать эти рекомендации на основе своих уникальных угроз, возможностей и потребностей, учитывая надежность, видимость каждого журнала, потенциальное влияние на производительность и организационные затраты на поддержку и анализ данных.
Помните: Эффективная стратегия логирования - это баланс между полнотой покрытия, производительностью системы и аналитическими возможностями команды безопасности.
