A “Best Practices for Event Logging and Threat Detection” (PDF) címet viselő dokumentum az eseménynaplózásra és a fenyegetésészlelésre összpontosít, miközben részletezi azokat az úgynevezett “living-off-the-land” (LOTL) technikákat, amelyeket a támadók használnak, és kiemeli a biztonsági gyakorlatok fontosságát a fenyegetések megelőzése érdekében.
Az útmutatót Ausztrália, Kanada, Japán, Korea, Hollandia, Új-Zéland, Szingapúr, az Egyesült Királyság és az Egyesült Államok kormányzati ügynökségei dolgozták ki, és a közepes és nagy szervezetek számára készült.
A naplózási irányelveknek figyelembe kell venniük a szervezet és a szolgáltatók közötti megosztott felelősséget, a naplózandó események részleteit, a használandó naplózási eszközöket, a naplózás felügyeletét, a megőrzés időtartamát és a naplók újraértékelésének részleteit.
A hasznos eseménynaplók segítik a hálózatvédőket abban, hogy felmérjék, a biztonsági események valódiak vagy fals-pozitívak, és, hogy felfedezzék azokat a LOTL technikákat, amelyeket úgy terveztek, hogy legitimnek tűnjenek.
A szervezeteknek az útmutató szerint gépek operációs rendszerére jellemző LOLBins naplózására kell összpontosítaniuk. Ilyenek például a segédprogramok, parancsok, szkriptek, adminisztratív feladatok, PowerShell, API-k, bejelentkezések és más típusú műveletek naplózása.
Az eseménynaplóknak olyan részleteket kell tartalmazniuk, amelyek segítenek a védőknek, például a pontos időbélyegek, az eseménytípusok, az eszközazonosítók, a munkamenetazonosítók, az autonóm rendszerszámok, az IP címek, a válaszidő, a headerek, a felhasználói azonosítók, a végrehajtott parancsok és az egyedi eseményazonosító.
Ami az operatív technológiát (OT) illeti, az adminisztrátoroknak figyelembe kell venniük az eszközök erőforrás korlátait, és szenzorokat kell használniuk naplózási képességeik kiegészítésére, valamint meg kell fontolniuk a naplózás out-of-band (OOB) megoldásait.
Az ügynökségek javasolják egy strukturált naplóformátum, például a JSON használatát egy pontos és megbízható, minden rendszeren használható forrást létrehozásához. A naplókat elég hosszú ideig őrizzék meg a kiberbiztonsági incidensek kivizsgálásának támogatásához, mivel egy incidens feltárása akár 18 hónapig is eltarthat.
Az útmutató részletesen kitér a naplóforrások priorizálására, az eseménynaplók biztonságos tárolására, és ajánlja a felhasználói és a szervezeti rendszerek viselkedését elemző képességek megvalósítását az incidensek automatikus felderítése érdekében.
