Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Ein Leitfaden zu CIS Control 8: Audit Log Management

Ein Leitfaden zu CIS Control 8: Audit Log Management

Jun 16, 2022

Einführung in CIS Control 8

CIS Control 8 Center for Internet Security (CIS) Version 8 behandelt das Management von Überwachungsprotokollen. (In Version 7 wurde dieses Thema von Control 6 abgedeckt.) Diese Sicherheitskontrolle beschreibt wichtige Schutzmaßnahmen für die Einrichtung und Aufrechterhaltung von Überwachungsprotokollen, einschließlich ihrer Sammlung, Speicherung, Zeitabgleich, Aufbewahrung und Überprüfung.

Ausgewählte verwandte Inhalte:

Zwei Arten von Protokollen werden während der Systemimplementierung unabhängig konfiguriert:

  • Systemprotokolle liefern Daten über systemweite Ereignisse wie Start- und Endzeiten von Prozessen.
  • Audit-Protokolle umfassen Benutzerereignisse wie Anmeldungen und Dateizugriffe. Audit-Protokolle sind entscheidend für die Untersuchung von Cybersicherheitsvorfällen und erfordern mehr Konfigurationsaufwand als Systemprotokolle.

Log-Management

Da IT-Umgebungen so viele Ereignisse generieren, benötigen Sie ein Log-Management, um sicherzustellen, dass Sie wertvolle Informationen erfassen und schnell analysieren können. Alle Software- und Hardwarekomponenten, einschließlich Firewalls, Proxys, VPNs und Fernzugriffssysteme, sollten so konfiguriert sein, dass sie wertvolle Daten speichern.

Darüber hinaus empfehlen Best Practices, dass Organisationen ihre Protokolle regelmäßig scannen und sie mit ihrem IT-Asset-Inventar vergleichen (welches gemäß CIS Control 1 zusammengestellt sein sollte), um zu bewerten, ob jedes Asset aktiv mit Ihrem Netzwerk verbunden ist und Protokolle wie erwartet generiert.

Ein Aspekt des effektiven Log-Managements, der häufig übersehen wird, ist die Notwendigkeit, alle Systeme mit einem zentralen Network Time Protocol (NTP)-Server zeitlich zu synchronisieren, um eine klare Abfolge von Ereignissen zu gewährleisten.

Die Rolle des Log-Managements

Das Log-Management umfasst das Sammeln, Überprüfen und Aufbewahren von Protokollen sowie das Alarmieren bei verdächtigen Aktivitäten im Netzwerk oder auf einem System. Ein ordnungsgemäßes Log-Management hilft Organisationen, frühzeitige Anzeichen eines Einbruchs oder Angriffs zu erkennen, die in den Systemprotokollen erscheinen.

Es hilft ihnen auch, Sicherheitsvorfälle zu untersuchen und sich davon zu erholen. Überwachungsprotokolle bieten eine forensische Detailaufzeichnung, einschließlich einer schrittweisen Aufzeichnung des Ursprungs, der Identität und der Methodik der Angreifer. Überwachungsprotokolle sind auch entscheidend für die Vorfallsforensik und geben Aufschluss darüber, wann und wie der Angriff stattgefunden hat, welche Informationen abgerufen wurden und ob Daten gestohlen oder zerstört wurden. Die Protokolle sind auch wesentlich für Nachuntersuchungen und können verwendet werden, um den Beginn eines lang andauernden Angriffs zu ermitteln, der über Wochen oder Monate unentdeckt geblieben ist.

Eine Aufschlüsselung von CIS Control 8: Audit Log Management zur Unterstützung Ihrer Compliance-Bemühungen folgt.

Safeguard 8.1: Etablieren und pflegen Sie einen Prozess für das Management von Audit-Protokollen

Etablieren und pflegen Sie einen Audit-Log-Managementprozess, der die Protokollierungsanforderungen des Unternehmens definiert. Mindestens sollten die Sammlung, Überprüfung und Aufbewahrung von Audit-Logs für Unternehmensressourcen behandelt werden. Überprüfen und aktualisieren Sie die Dokumentation jährlich oder wenn bedeutende Unternehmensänderungen diese Schutzmaßnahme beeinflussen könnten.

Warum ist Audit-Protokollierung notwendig?

Audit-Protokolle erfassen und zeichnen Ereignisse und Änderungen an IT-Geräten im Netzwerk auf. Mindestens sollten die Protokolldaten Folgendes beinhalten:

  • Gruppe — Das Team, die Organisation oder das Konto, von dem die Aktivität ausgeht
  • Akteur — Die UUIDs, Benutzernamen und API-Token-Namen des für die Aktion verantwortlichen Kontos
  • Ereignisname — Der Standardname für ein bestimmtes Ereignis
  • Beschreibung — Eine lesbare Beschreibung, die Links zu verwandten Informationen enthalten kann
  • Aktion — Wie das Objekt verändert wurde
  • Aktionstyp — Der Typ der Aktion, wie erstellen, lesen, aktualisieren oder löschen
  • Wann — Der NTP-synchronisierte Zeitstempel
  • Woher — Das Ursprungsland, die Geräte-ID-Nummer oder die IP-Adresse des Ursprungs

Systemadministratoren und Prüfer nutzen diese Details, um verdächtige Netzwerkaktivitäten zu untersuchen und Probleme zu beheben. Die Protokolle bieten eine Grundlage für normales Verhalten und Einblicke in abnormales Verhalten.

Vorteile der Auditprotokollierung

Die Protokollierung von Audits bietet folgende Vorteile:

  • Sicherheitsverbesserung basierend auf den Einblicken in die Aktivität
  • Nachweis der Einhaltung von Standards und Vorschriften wie HIPAA und PCI DSS
  • Risikomanagement zur Kontrolle des Risikoniveaus und zum Nachweis der Sorgfaltspflicht gegenüber Stakeholdern

Die vier Schritte der Audit-Protokollierung

Schritt 1. Inventarisieren Sie Ihre Systeme und Hardware und legen Sie vorläufige Prioritäten fest.

Erstellen Sie eine Bestandsaufnahme aller Geräte und Systeme innerhalb des Netzwerks, einschließlich:

  • Computer
  • Server
  • Mobile Geräte
  • Plattformen für Dateispeicherung
  • Netzwerkgeräte wie Firewalls, Switches und Router

Bewerten Sie den Wert der in jedem Asset gespeicherten Daten. Berücksichtigen Sie den Wert der Rollen, die diese Assets erfüllen, und die Kritikalität der Daten für Geschäftszwecke. Das Ziel ist eine geschätzte Risikobewertung für jedes Asset zur zukünftigen Bewertung.

Schritt 2. Konsolidieren und ersetzen Sie Vermögenswerte.

Nutzen Sie das Inventar, um alternde Ausrüstung und Plattformen für den Austausch zu bewerten. Berücksichtigen Sie die geschätzte Zeit, die benötigt wird, um Ersatz zu implementieren oder Plattformen mit dem endgültigen Ziel zu konsolidieren, Ihre Umgebung zu auditieren.

Bestimmen Sie mühelos zu prüfende Vermögenswerte im Vergleich zu Vermögenswerten, die zusätzlichen Prüfungsaufwand erfordern. Dokumentieren Sie alles, um den Fortschritt zu messen und eine Referenz für Prüfer zu erstellen.

Schritt 3. Kategorisieren Sie die verbleibenden Ressourcen von am meisten bis am wenigsten prüfbar.

Überprüfen Sie Ihre verbleibenden Systeme und bestimmen Sie, wie sie sich auf die Datenspeicherung oder Zugangskontrolle beziehen. Kategorisieren Sie die Vermögenswerte basierend auf der erwarteten Wahrscheinlichkeit einer Überprüfung. Stellen Sie sicher, dass die Informationen mit dem höchsten Risiko oder Wert in den am einfachsten zu überprüfenden Systemen gespeichert sind.

Schritt 4. Suchen Sie nach einer Auditing-Lösung, die in kürzester Zeit die meisten Assets abdeckt.

Bei der Auswahl einer Lösung sollten Sie nach einem Anbieter mit einer breiten Palette an Werkzeugen und hervorragendem Kundenservice suchen. Der Anbieter sollte eine nachgewiesene Erfolgsbilanz bei der Bereitstellung von Produktverbesserungen und Updates vorweisen können, um mit den ständig wechselnden Anforderungen an die Überwachung und dem Risikoumfeld Schritt zu halten.

Um die Verwaltung zu vereinfachen, minimieren Sie die Anzahl der Lizenzen, Kontakte und Supportvereinbarungen. Achten Sie auch auf flexible Lizenzierung, Skalierbarkeit und zentralisierten Langzeitspeicher, der Ihren Anforderungen entspricht.

Safeguard 8.2: Sammeln von Audit-Protokollen

Sammeln Sie Audit-Protokolle. Stellen Sie sicher, dass die Protokollierung gemäß dem Audit-Protokollverwaltungsprozess des Unternehmens für alle Unternehmensressourcen aktiviert wurde.

Jede Organisation sollte Folgendes prüfen:

  • Systeme, einschließlich aller Zugangspunkte
  • Geräte, einschließlich Webserver, Authentifizierungsserver, Switches, Router und Arbeitsstationen
  • Anwendungen, einschließlich Firewalls und anderer Sicherheitslösungen

Safeguard 8.3: Gewährleisten Sie ausreichenden Speicherplatz für Überwachungsprotokolle

Stellen Sie sicher, dass die Protokollierungsziele über ausreichend Speicherplatz verfügen, um den Log-Management-Prozess des Unternehmens einzuhalten.

Die Speicherung von Audit-Protokollen ist eine Anforderung der meisten gesetzlichen Vorschriften und Standards. Darüber hinaus ist die Protokollspeicherung notwendig, um forensische Analysen zur Untersuchung und Behebung eines Ereignisses zu ermöglichen.

Zu den wichtigsten zu speichernden Datentypen gehören:

  • Benutzer-IDs und Anmeldeinformationen
  • Terminalidentitäten
  • Änderungen an der Systemkonfiguration
  • Datum und Uhrzeit des Ereignisses
  • Erfolgreiche und fehlgeschlagene Anmeldeversuche

NIST-Publikation SP 800-92 Abschnitte 5.1 und 5.4 befassen sich mit der Entwicklung von Richtlinien und dem Management der Langzeitspeicherung.

Protokollspeicherfristen

Die Organisationsrichtlinie sollte bestimmen, wie lange jeder Log Daten speichern soll, abhängig vom Wert der Daten und anderen Faktoren:

  • Nicht gespeichert — Daten von geringem Wert
  • Nur auf Systemebene — Daten von gewissem Wert für die Systemverwaltung, aber nicht ausreichend, um an die Log-Management-Infrastruktur gesendet zu werden
  • Sowohl auf System- als auch auf Infrastrukturebene — Daten, die für Aufbewahrung und Zentralisierung erforderlich sind
  • Nur Infrastruktur — Wenn Systemprotokolle über begrenzte Speicherkapazität verfügen

Die Richtlinie legt auch die lokale Protokollrotation für alle Protokollquellen fest. Sie können Ihre Protokolle so konfigurieren, dass sie regelmäßig und beim Erreichen ihrer maximalen Größe rotieren. Wenn die Protokolle in einem proprietären Format vorliegen, das keine einfache Rotation zulässt, müssen Sie entscheiden, ob Sie das Protokollieren einstellen, die ältesten Einträge überschreiben oder die Protokollgenerierung stoppen.

Die Aufbewahrungszeiten für Protokolle hängen von der Art Ihres Unternehmens und Ihren Organisationsrichtlinien ab. Die meisten Unternehmen bewahren Audit-Protokolle, IDS-Protokolle und Firewall-Protokolle mindestens zwei Monate lang auf. Einige Vorschriften erfordern eine Aufbewahrung von sechs Monaten bis zu sieben Jahren.

Wenn Sie Protokolle für einen relativ langen Zeitraum aufbewahren müssen, sollten Sie ein Protokollformat für alle archivierten Daten wählen und einen bestimmten Backup-Medientyp verwenden, der von Ihrem Budget und anderen Faktoren ausgewählt wird. Überprüfen Sie die Integrität der übertragenen Protokolle und lagern Sie die Medien sicher außerhalb des Standorts.

Safeguard 8.4: Standardisieren der Zeitsynchronisation

Standardisieren Sie die Zeitsynchronisation. Konfigurieren Sie mindestens zwei synchronisierte Zeitquellen für Unternehmensressourcen, wo dies unterstützt wird.

Jeder Host, der Protokolle erstellt, bezieht sich auf eine interne Uhr, um Ereignisse zu zeitstempeln. Das Versäumnis, Protokolle mit einer zentralen Zeitquelle zu synchronisieren, kann Probleme bei der forensischen Untersuchung von Vorfall-Zeitachsen verursachen und zu falschen Interpretationen der Protokolldaten führen. Das Synchronisieren von Zeitstempeln zwischen Vermögenswerten ermöglicht eine Ereigniskorrelation und eine genaue Prüfspur, besonders wenn die Protokolle von mehreren Hosts stammen.

Safeguard 8.5: Detaillierte Audit-Protokolle erfassen

Konfigurieren Sie detaillierte Audit-Protokollierung für Unternehmensressourcen, die sensible Daten enthalten. Schließen Sie Ereignisquelle, Datum, Benutzername, Zeitstempel, Quelladressen, Zieladressen und andere nützliche Elemente ein, die bei einer forensischen Untersuchung hilfreich sein könnten.

Eine forensische Analyse von Protokollen ist ohne Details unmöglich. Neben den in der Schutzmaßnahme angegebenen Informationen müssen Sie auch Ereigniseinträge erfassen, da sie Informationen zu einem bestimmten Ereignis liefern, das eingetreten ist und ein abgedecktes Gerät beeinflusst hat.

Sammeln Sie detaillierte Audit-Protokolle für:

  • Betriebssystemereignisse — Systemstart und -herunterfahren, Start und Herunterfahren von Diensten, Netzwerkverbindungsänderungen oder -ausfälle und erfolgreiche sowie fehlgeschlagene Versuche, Systemsicherheitseinstellungen und -kontrollen zu ändern
  • Betriebssystem-Auditprotokolle — Anmeldeversuche, Funktionen nach dem Login, Kontenänderungen, Informationen und Operationen

Jedes Audit-Protokoll sollte Folgendes bereitstellen:

  • Zeitstempel
  • Ereignis, Status und alle Fehlercodes
  • Service-/Befehls-/Anwendungszeit
  • Benutzer- oder Systemkonto, das mit dem Ereignis verknüpft ist
  • Verwendetes Gerät sowie Quell- und Ziel-IPs
  • Terminal-Sitzungs-ID
  • Webbrowser
  • Weitere erforderliche Daten

Safeguard 8.6: Sammeln von DNS-Abfrage-Auditprotokollen

Sammeln Sie DNS-Abfrage-Auditprotokolle auf Unternehmensressourcen, wo dies angemessen und unterstützt wird.

Die Bedeutung des Sammelns von DNS-Abfrage-Auditprotokollen

Das Sammeln von DNS-Abfrage-Auditprotokollen verringert die Auswirkungen eines DNS-Angriffs. Das Protokollereignis kann Folgendes umfassen:

  • Dynamische Aktualisierungen
  • Zonentransfers
  • Ratenbegrenzung
  • DNS-Signierung
  • Weitere wichtige Details

DNS-Risiken und Angriffe

DNS-Hijacking verwendet Schadsoftware, um auf Arbeitsstationen konfigurierte Nameserver zu ändern und DNS-Anfragen an bösartige Server zu senden. Hijacking ermöglicht Phishing, Pharming, Verbreitung von Malware und das Veröffentlichen einer verfälschten Version Ihrer Webseite.

DNS-Tunneling bezieht sich auf den Zugriff auf DNS-Abfragen, Begriffe und Antworten, die Datenpakete enthalten, welche möglicherweise Malware, gestohlene Daten, bidirektionale Protokolle, Berechtigungen und Steuerungs- und Kontrollinformationen transportieren.

Denial-of-Service-Angriffe (DoS) erhöhen die Last auf Ihrem Server, bis er legitime Anfragen nicht mehr beantworten kann.

DNS-Cache-Poisoning, auch bekannt als Spoofing, ähnelt dem Hijacking, bei dem der DNS-Resolver aufgrund einer Schwachstelle einen ungültigen Quelleneintrag akzeptiert.

Safeguard 8.7: Sammeln von Audit-Protokollen für URL-Anfragen

Sammeln Sie URL-Anforderungs-Auditprotokolle auf Unternehmensressourcen, wo dies angemessen und unterstützt wird.

URL-Anfragen können Informationen über die Query-String weitergeben und sensible Daten an die Parameter in der URL übermitteln. Angreifer können dann Benutzernamen, Passwörter, Tokens und andere möglicherweise sensible Informationen erhalten. Die Verwendung von HTTPS behebt diese Schwachstelle nicht.

Mögliche Risiken im Zusammenhang mit URL-Anfragen umfassen:

  • Erzwungenes Browsen
  • Pfadmanipulation oder -traversierung
  • Ressourceninjektion

Safeguard 8.8: Sammeln von Befehlszeilen-Auditprotokollen

Sammeln Sie Befehlszeilen-Auditprotokolle. Beispielimplementierungen umfassen das Sammeln von Auditprotokollen aus PowerShell®, BASH®, und entfernten Administrationsendpunkten.

Ein Bedrohungsakteur kann eine unsichere Datenübertragung, wie Cookies und Formulare, nutzen, um einen Befehl in die Systemshell eines Web-Servers zu injizieren. Der Angreifer nutzt dann die Privilegien der anfälligen Anwendungen. Die Befehlsinjektion umfasst die direkte Ausführung von Shell-Befehlen, das Einschleusen bösartiger Dateien in die Laufzeitumgebung und das Ausnutzen von Konfigurationsdatei-Schwachstellen.

Ein Risiko, das mit einem Befehlszeilen-Exploit verbunden ist, ist die Ausführung von beliebigen Befehlen auf dem Betriebssystem, insbesondere wenn eine Anwendung unsichere, vom Benutzer bereitgestellte Daten an eine Systemshell weitergibt.

Dementsprechend sollten Organisationen Daten über die Verwendung der Befehlszeile protokollieren.

Safeguard 8.9: Zentralisieren Sie Audit-Protokolle

Soweit möglich, zentralisieren Sie die Sammlung und Aufbewahrung von Audit-Logs über Unternehmensressourcen hinweg.

Hacker verwenden oft die Taktik, lokale Protokolldateien zu löschen, um Beweise ihrer Aktivitäten zu vernichten. Eine zentralisierte, sichere Datenbank von Protokolldaten vereitelt diese Taktik und ermöglicht den Vergleich von Protokollen über mehrere Systeme hinweg.

Safeguard 8.10: Audit-Protokolle behalten

Bewahren Sie Audit-Protokolle über Unternehmensressourcen für mindestens 90 Tage auf.

Die Vorteile der Protokollaufbewahrung umfassen die Erleichterung forensischer Analysen von Angriffen, die lange nach der Kompromittierung des Systems entdeckt wurden. Viele Standards und Vorschriften erfordern die Aufbewahrung von Prüfprotokollen zur Einhaltung der Compliance, und die Bewahrung von Protokolldaten trägt zur Sicherstellung der Datenintegrität bei.

Protokolle verfolgen alle Änderungen an Datensätzen, sodass Sie unbefugte Modifikationen, die von einer externen Quelle stammen oder aufgrund von Fehlern in der internen Entwicklung oder Systemverwaltung entstanden sind, entdecken können.

Safeguard 8.11: Führen Sie Überprüfungen von Audit-Protokollen durch

Führen Sie Überprüfungen von Audit-Protokollen durch, um Anomalien oder ungewöhnliche Ereignisse zu erkennen, die auf eine potenzielle Bedrohung hinweisen könnten. Führen Sie Überprüfungen wöchentlich oder noch häufiger durch.

Überprüfen Sie die Protokolle, um ungewöhnliche Ereignisse zu erkennen, die auf eine Bedrohung hindeuten könnten. Verwenden Sie sie, um Endpunkte mit dem Inventar abzugleichen und bei Bedarf neue Endpunkte zu konfigurieren. Überprüfen Sie auch die Audit-Protokolle, um sicherzustellen, dass das System die entsprechenden Protokolle generiert.

Führen Sie wöchentlich oder häufiger Überprüfungen durch.

Safeguard 8.12 Sammeln von Dienstanbieterprotokollen

Sammeln Sie Protokolle von Dienstanbietern, sofern unterstützt. Beispielhafte Implementierungen umfassen das Sammeln von Authentifizierungs- und Autorisierungsereignissen, Ereignissen zur Datenanlage und -entsorgung sowie Benutzerverwaltungsereignissen.

Auch wenn Ihr Dienstleister Sicherheit garantiert, möchten Sie die Integrität der erhaltenen Protokolle überprüfen und sicherstellen, dass der Anbieter die Vorschriften einhält. Außerdem benötigen Sie im Falle eines Vorfalls die Daten für die forensische Analyse.

Der Anbieter sollte Authentifizierungs- und Autorisierungsereignisse, Datenanlage- und -entsorgungsereignisse sowie Benutzerverwaltungsereignisse erfassen.

Mit dem Wachstum des Cloud-Computings nehmen die Angriffe auf Dienste zu. Ein Hacker könnte eine URL fälschen und den Benutzer auf eine gefälschte Anbieterseite umleiten oder anderen Schaden verursachen. Wenn ein Dienstanbieter ein Sicherheitsproblem hat, informiert er möglicherweise seine Kunden nicht rechtzeitig. Außerdem könnten Sie feststellen, dass der Dienstanbieter nicht das von Ihnen erwartete oder erforderliche Sicherheitsniveau bietet.

Zusammenfassung

Kontrolle 8 enthält aktualisierte Schutzmaßnahmen für das Audit-Log-Management, eine kritische Funktion, die für die Einrichtung und Aufrechterhaltung von Audit-Logs erforderlich ist, einschließlich Sammlung, Speicherung, Zeitsynchronisation, Aufbewahrung und Überprüfung.

Jede Schutzmaßnahme adressiert einen Aspekt des Audit-Log-Managements, um die Einhaltung von Standards zu gewährleisten und Ihnen Informationen im Falle von Audits oder Angriffen bereitzustellen.

FAQ

Was bedeutet Audit-Protokoll?

Ein Audit-Log ist eine Methode zur Speicherung von Daten über Benutzerereignisse. Er enthält spezifische Informationen, die helfen, den Akteur und die durchgeführten Aktionen zu identifizieren.

Was ist die Funktion eines Prüfprotokolls?

Das Protokoll kann für forensische Analysen im Falle eines Angriffs verwendet werden und um die Integrität der Protokolldaten zu bestimmen. Es liefert auch den Nachweis der Einhaltung von Standards.

Was sollte in einem Audit-Protokoll enthalten sein?

Ein Audit-Protokoll sollte Folgendes enthalten:

  • Gruppe
  • Schauspieler
  • Aktionstyp
  • Ereignisname und Beschreibung
  • Zeitstempel
  • Ursprungsort

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Dirk Schrader

VP of Security Research

Dirk Schrader ist Resident CISO (EMEA) und VP of Security Research bei Netwrix. Als 25-jähriger Veteran in der IT-Sicherheit mit Zertifizierungen als CISSP (ISC²) und CISM (ISACA) arbeitet er daran, die Cyber-Resilienz als modernen Ansatz zur Bekämpfung von Cyber-Bedrohungen voranzutreiben. Dirk hat an Cybersecurity-Projekten auf der ganzen Welt gearbeitet, beginnend in technischen und Support-Rollen zu Beginn seiner Karriere und dann übergehend in Vertriebs-, Marketing- und Produktmanagementpositionen sowohl bei großen multinationalen Konzernen als auch bei kleinen Startups. Er hat zahlreiche Artikel über die Notwendigkeit veröffentlicht, Änderungs- und Schwachstellenmanagement anzugehen, um Cyber-Resilienz zu erreichen.

Erfahren Sie mehr zu diesem Thema

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Was ist elektronisches Records Management?

Quantitative Risikoanalyse: Jährliche Verlust Erwartung

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen