美国国家安全局 (NSA) 发布了跨云服务、企业网络、移动设备和运营技术 (OT) 网络的事件日志和威胁检测最佳实践,以确保重要系统的持续交付。
该网络安全信息表 (CSI) 是与澳大利亚信号局的澳大利亚网络安全中心 (ASD ACSC) 等国际合著者合作发布的。
该指南旨在支持企业中的 IT 和网络员工防御使用离地生存 (LOTL) 技术的威胁行为者。
它还在考虑资源限制的同时,为提高组织在当前网络威胁环境中的恢复能力提供了建议。
事件记录和威胁检测的四个最佳实践
高效的事件日志系统应该能够识别网络安全事件,例如基本软件配置的更改,在发生这些事件时提供警报,关注帐户合规性,并保证日志和日志记录平台的性能和可用性。
在追求日志记录的最佳实践时,请牢记以下四个因素:
- 企业批准的事件记录策略
- 集中事件日志访问和关联
- 安全存储和事件日志完整性
- 相关威胁检测策略
1.企业日志记录政策:网络安全的战略举措
创建和执行企业批准的日志记录策略可增强组织识别系统上欺诈活动的能力,并确保所有环境都使用相同的日志记录技术。日志记录政策应该考虑组织与其服务提供商之间的任何共享职责。
此外,该政策应指定要记录哪些事件、如何监控事件日志、保留多长时间以及何时重新评估应保留哪些日志。
制定和实施企业认可的日志记录策略对于检测恶意行为和确保整个组织环境的一致性至关重要。有效日志记录策略的关键组成部分包括:
- 事件日志质量:专注于捕获高质量的网络安全事件,而不仅仅是格式良好的日志。高质量的日志可帮助网络防御者准确识别和应对事件。
- 详细的捕获事件日志:日志应包括时间戳、事件类型、设备标识符、IP 地址、用户 ID 和执行的命令等基本详细信息。这些信息对于有效的威胁检测和事件响应至关重要。
- 运营技术 (OT) 注意事项:对于 OT 环境,请考虑设备有限的日志记录功能,并使用传感器或带外通信来补充日志,而不会导致设备过载。
- 内容和时间戳一致性:在所有系统中使用结构化日志格式(如 JSON)和一致的时间戳(最好是带有 ISO 8601 格式的 UTC)来改善日志相关性和分析。
- 事件日志保留:考虑到某些威胁可能在检测到之前潜伏数月,请确保日志保留足够长的时间以支持事件调查。保留期限应符合监管要求和组织的风险评估。
这些实践增强了组织有效检测、调查和应对网络安全事件的能力。
2.集中事件日志访问和关联
集中式日志收集和关联为企业网络、OT、云计算和使用移动计算设备的企业移动性提供日志源的优先列表。
优先级排序过程包括评估攻击者瞄准已记录资产的可能性以及资产泄露的潜在后果。
美国国家安全局建议各组织建立集中式事件日志设施,例如安全数据湖,以实现日志聚合。
要实施有效的企业日志记录政策:
- 明确职责:明确组织和服务提供商之间的日志记录角色。
- 优先处理日志:重点关注企业、OT、云和移动环境中的关键系统、网络设备和高风险区域。
- 确保日志质量:捕获时间戳、IP 地址和用户 ID 等关键详细信息。使用 JSON 等一致格式。
- 集中监控:集中收集日志,数据分为“热”(快速访问)和“冷”(长期存储)。
- 保留和存储:根据风险和合规性需求设置保留期。确保有足够的存储空间以防止数据丢失。
- 时间戳同步:在所有系统中使用一致、可靠的时间源(最好是 UTC)。
- OT 注意事项:使用替代日志记录方法解决 OT 设备的限制。
- 定期审查:定期重新评估日志相关性并根据需要更新政策。
这种方法加强了威胁检测、事件响应和合规性。
从那里,选定的、处理过的日志应该被转发到分析工具,如安全信息和事件管理(SIEM) 解决方案和扩展检测和响应 (XDR) 解决方案。
3.安全存储和事件日志完整性
- 集中式日志记录:实施安全的数据湖来汇总日志,防止因本地存储有限而造成损失。将关键日志转发到 SIEM/XDR 进行分析。
- 安全传输和存储:使用 TLS 1.3 和加密方法保护传输中和静止的日志。限制对敏感日志的访问。
- 预防未经授权的访问:保护日志不被恶意行为者修改/删除。只有授权人员才可以访问,并设置审计日志。
- 强化 SIEM:将 SIEM 与一般 IT 环境隔离,过滤日志以优先处理重要日志,并最大限度地降低成本。
- 基线和威胁检测:使用集中日志检测偏离正常行为的情况,指示潜在的网络安全事件或事故。
- 及时日志提取:确保快速收集日志,以便尽早发现安全事件。
4.相关威胁检测策略
为了检测“离地谋生”(LOTL)技术,组织应实施用户和实体行为分析(UEBA),并利用 SIEM 系统通过将事件日志与已建立的正常活动基线进行比较来识别异常。主要建议和策略包括:
(1) 行为分析:使用 UEBA 自动检测网络、设备或账户上的异常行为,这对于识别与正常操作相融合的 LOTL 技术至关重要。
(2) 案例研究 - Volt Typhoon:该组织使用了 LOTL 技术,例如 PowerShell 脚本、Windows 管理规范控制台 (WMIC) 和其他本机工具在系统内进行渗透和横向移动,使传统的检测变得十分困难。
(3) 异常行为指标:
- 不寻常的登录时间或地点。
- 访问帐户通常不使用的服务。
- 大量的访问尝试或数据下载。
- 使用不常见或可疑的进程和路径。
- 意外的帐户活动,例如重新启用已禁用的帐户。
- 网络异常,例如设备之间建立新的连接。
(4) 增强检测:实施端点检测和响应 (EDR) 解决方案,确保详细日志记录(包括进程创建和命令行审计),并为合法二进制使用建立基线。
(5) 主动威胁搜寻:定期进行威胁搜寻,以识别和调查潜在的 LOTL 活动,并根据不断变化的威胁形势完善检测规则。
这些策略有助于检测和缓解 LOTL 技术,由于这些技术依赖于网络中的合法工具和活动,因此具有挑战性。
