記錄和保護監控

　　使用日志記錄和監控來識別威脅并保護智能手機、平板電腦、筆記本電腦和臺式電腦，安全監控是識別和檢測 IT 系統威脅的核心。在檢測安全事件并從安全事件中恢復時，它充當我們眼睛和耳朵，使我們能夠確保根據組織策略使用設備。

　　有效的監控依賴于適當、可靠的日志記錄和設備管理實踐。本文旨在為系統和網絡管理員提供有關現代平臺上可用的日志記錄和監控選項的建議。

　　為什么要使用日志記錄和保護性監控？

　　許多大型事件已經顯示出針對單個主機，從攻擊者將試圖進一步加強通過獲得的橫向移動技術，如證書被盜，賬戶模擬，使用正版的網絡工具或已知漏洞的網絡協議過時的版本，以傳播和破壞額外的設備以訪問額外的數據和服務。

　　其中一些更傳統的技術可能不適用于純云或零信任網絡架構。然而，在決定是否允許訪問組織服務和數據時，監控設備活動、健康和配置可以說變得更加重要。

　　日志記錄和監控將幫助組織識別網絡上的活動模式，從而提供入侵指標。在發生事故時，記錄數據可以幫助更有效地確定危害的來源和程度。

　　為日志記錄和監控做準備

　　可以從設備收集多種類型的事件和信號。設備監控應成為貴組織更廣泛的日志記錄和監控方法的一部分。很多時候，成功的入侵檢測需要多個信息源。

　　一般而言，監控數據可能來自事件驅動的日志，例如網站連接或設備配置詳細信息，例如設備上運行的當前操作系統版本。

　　作為第一步，應該設法了解需要并能夠收集的數據類型和來源。為了幫助完成此過程，我們對下表中可能提供的數據源進行了廣泛分類。

　　類別描述

　　基于主機的日志

　　基于主機的日志記錄可以提供豐富的數據源。通常，這將包括與文件系統、正在運行的進程和程序加載事件等相關的事件。基于主機的日志記錄還可以提供額外的事件源，例如網站連接和設備或服務登錄。

　　一些設備操作系統將支持一組豐富的內置系統日志，這些日志可以轉發到集中存儲，而另一些將提供非常有限的日志集。

　　根據設備平臺，可以安裝額外的基于主機的代理來收集日志數據，超出內置功能。但是，這帶來了需要在設備上安裝額外軟件的開銷。它還需要對基于主機的代理進行額外的管理要求。在某些情況下，安裝的代理甚至可能會帶來額外的威脅風險。

　　服務日志身份、郵件和文檔存儲等服務以及數據庫等后端服務通常會生成可收集和審查的事件或審計日志。這些類型的日志，包括對身份驗證嘗試和配置數據更改的監控，可以提供額外的日志源，可以幫助檢測設備的入侵指標。

　　基礎設施日志根據組織網絡架構，防火墻、網絡代理和入侵保護或檢測系統等設備都可以提供基于網絡的設備事件監控，例如網站連接和 DNS 請求。這有助于識別可能通過單擊網絡釣魚鏈接或下載惡意文件等方式連接到惡意站點的設備。更高級的功能還可以包括簽名或基于啟發式的檢測技術。

　　設備合規性

　　設備管理的一個重要功能是監控設備狀態和配置。此數據可用于根據組織策略評估設備合規性。例如，設備操作系統是否是最新的？

　　因為有許多設備和一系列移動設備管理系統，所以對此類合規性數據的支持程度差別很大，可以根據這些數據采取的行動也是如此。在選擇在組織中使用哪些設備以及選擇移動設備管理服務時，應該考慮這一點。

　　設備認證

　　遠程設備證明旨在報告一組設備及其上運行的軟件的可信信號和測量結果。應以這樣的方式保護和報告這些測量結果，即使設備受到損害，也可以依賴這些測量結果。更強的證明形式通常將硬件支持的密鑰存儲和信任根與基于公鑰的加密操作相結合，用于存儲和報告設備狀態的可信測量。

　　對遠程設備認證的支持因設備和移動設備管理服務而異。在選擇要使用的設備以及選擇移動設備管理服務時，應該考慮這一點。

　　應該仔細考慮對這些數據源的訪問和使用。連同組織正在使用的設備的日志記錄和遠程管理功能，將決定檢測和響應安全事件或策略違規的能力。

　　如何監控和記錄

　　制定戰略

　　10 個網絡安全步驟將幫助我們實施安全監控策略，首先基于業務需求以及對業務服務和資產的風險評估。

　　實施日志記錄策略

　　在介紹日志提供了一個四步計劃，以幫助我們制定和實施適當的記錄能力。

　　看什么

　　對于設備，應該包括對設備狀態和合規性的監控。還應該記錄設備事件，包括用戶活動、網絡通信、身份驗證和訪問設備和服務。

　　收集和分析

　　應該收集和分析日志數據。這將使能夠檢測和響應安全事件。在可能的情況下，應該自動化檢測和修復。

　　發展你的計劃

　　事件管理計劃和政策應該包括從安全事件中學習的能力。這些課程可能會建議改進監控設置的方法。例如，特定類型的數據可能已丟失，或者日志存儲持續時間可能太短。

　　優先

　　在實踐中，可能無法實現完美的解決方案。這可能是由于成本限制，或者設備不支持完美的監控和管理功能集。無論這些限制的來源是什么，如果要發現潛在的危害或安全風險，應該優先考慮需要回答的問題。

　　移動設備管理系統和設備本身的限制將告訴哪些解決方案實際上是可以實現的。

　　建立 SOC

　　如果組織擁有可用資源，一種解決方案是建立安全運營中心 （SOC），將幫助組織總體上管理和監控組織的安全風險。

　　記錄變得容易

　　對于某些組織，尤其是較小的組織，建立 SOC 或實施全面的專業監控解決方案可能不可行。但是，至少應該有一個有效的日志記錄系統。Logging Made Easy （LME）是一個 英國NCSC 開源項目，提供基本的端到端 Windows 日志記錄功能，以及一組用于查看和分析結果數據的工具。

　　LME證明，只要投入適度的時間和精力，就可以構建基本的企業日志記錄功能。

　　技術說明

　　數據源因平臺而異

　　有效的監控解決方案需要考慮平臺之間可用數據的差異。為了幫助解決這個問題，在下面列出了一些最重要的差異。

　　通常，設備上的日志記錄、設備合規性報告和證明功能應與來自網絡層設備（如內部防火墻、網絡代理、VPN 網關和服務日志）的監控數據相結合。這種多維視圖將提供最有效的整體監控能力。

　　操作系統數據源

　　安卓

　　對于企業擁有的設備，設置為設備所有者模式，具有單個用戶或關聯用戶，Android 支持遠程日志記錄和錯誤報告收集。與安全相關的事件（例如 Android 調試橋 （ADB） 活動、解鎖和鎖定嘗試以及應用程序啟動）會被記錄下來并可遠程檢索。

　　可以遠程請求Android錯誤報告，但這需要用戶在共享之前進行交互批準。可用于遠程查看的詳細信息取決于MDM提供商。

　　根據MDM提供商的不同，還可以使用網絡活動日志記錄。網絡活動日志記錄設備發出的 DNS 請求和 TCP 連接，這些日志可以轉發到遠程服務器進行處理和分析。

　　有限制，可以繞過網絡活動日志記錄，如果設備包含不屬于您的組織的用戶配置文件，則不會收集日志。

　　MDM解決方案可用于從設備檢索某些信息，這些信息可用作設備合規性策略的一部分。這些數據包括：

　　安卓版本信息

　　植根設備

　　密碼設置

　　設備數據加密

　　受限應用

　　MDM可能能夠通過Key Attestation驗證引導加載程序狀態。

　　MDM可以使用Android Safety Net API作為設備合規性策略的一部分，以驗證設備的完整性。如果設備未通過合規性策略，這可用作采取適當行動的信號，例如阻止對公司資源的進一步訪問。

　　IOS

　　iOS 不支持遠程或本地歷史事件收集。

　　MDM解決方案可用于從設備檢索一些信息，包括設備狀態信息，可用于驗證對組織策略的合規性。這些數據允許檢測以下內容：

　　iOS版本信息

　　已安裝的應用程序

　　越獄檢測

　　密碼設置

　　受限應用

　　蘋果系統

　　macOS 日志可以由設備上的本地管理員查看，也可以使用第三方遠程管理工具 （RAT） 從遠處查看。也可以使用第三方軟件來自動收集日志。

　　MDM解決方案可用于從設備檢索某些信息，包括可用作設備合規性策略一部分的設備狀態信息。這些數據包括：

　　macOS 版本信息

　　密碼設置

　　設備數據加密

　　防火墻設置

　　允許的應用程序安裝來源

　　Chrome操作系統

　　可以使用MDM從設備遠程檢索有關用戶和設備狀態的有限信息。

　　Linux

　　Syslog可以在 Linux 設備上用于生成和存儲系統和應用程序日志，然后可以將這些日志轉發到遠程日志服務器存儲。

　　Rsyslog也可用于許多 Linux 發行版，并且可以提供更豐富、更靈活的日志記錄功能集。

　　對于管理員感興趣的特定事件，還可以使用auditd執行額外的審計。

　　Windows 10

　　可以使用Windows 事件收集和轉發來執行系統事件收集。這些事件可以轉發到中央存儲。可以使用組策略配置轉發。

　　安裝后，Sysmon可用于監視系統活動，并將數據發送到 Windows 事件日志。Windows事件收集可用于將日志轉發到集中存儲。該NCSC的記錄一點通（LME）是一個開源項目，提供使用機構的端至端的日志解決方案SYSMON收集基于主機的日志。

　　Windows 日志分析是Azure Monitor 的一項功能。這允許將在設備上捕獲的事件日志轉發到組織的 Azure 日志分析工作區。這包括Windows 事件日志。此功能需要在設備上安裝額外的日志分析代理，也稱為 Microsoft 管理代理。

　　MDM解決方案可用于從設備檢索某些信息，包括可用作設備合規性策略一部分的設備狀態信息。這些數據包括：

　　操作系統版本

　　安全啟動和 BitLocker 狀態

　　防病毒設置

　　密碼設置

　　設備數據加密

　　防火墻設置

　　Windows Defender ATP是一個功能齊全的威脅防護和安全監控平臺，可用于預防、檢測、調查和響應威脅。它與 Windows 10 的內置平臺安全功能（例如漏洞利用保護、攻擊面減少規則和系統防護）結合使用，以減少Windows 10 設備的攻擊面。它包括威脅和漏洞管理、端點檢測和響應以及自動調查和修復等功能。它還包括Microsoft 安全分數 組織可以用來分析和改進設備安全的安全狀況。

　　Windows Defender ATP還與 Microsoft Intune 集成以管理對設備的威脅，包括設備合規性策略和條件訪問，例如，如果在設備上發現高風險威脅，則能夠限制對組織服務和數據的訪問。

　　Windows 設備健康證明可以收集和報告測量的啟動數據，受可信平臺模塊 （TPM） 保護。此數據傳輸到 Microsoft 健康證明服務以驗證系統啟動完整性，包括硬件和操作系統啟動組件、內核完整性、防病毒和早期啟動驅動程序。它返回存儲在設備上的加密健康證書。這與 Microsoft Intune 集成，因此可以請求運行狀況證書并將其用于驗證特定設備運行狀況數據點，作為設備合規性策略的一部分。因此，它也可以應用于條件訪問策略。