Nozioni di base sul monitoraggio dei registri degli eventi e sul software di audit dei log

I log degli eventi possono aiutarti a individuare e risolvere gli eventi di sicurezza in modo da poter proteggere i tuoi sistemi e dati. Tuttavia, i record dei log possono essere difficili da leggere e i log così pieni di rumore che spesso devi setacciare pagine di eventi per identificare eventi critici e potenziali minacce.

Continua a leggere per saperne di più sui log di audit, l'analisi dei log e il software di auditing dei log.

Cos'è un registro di controllo?

Un registro di controllo è un registro di modifiche ed eventi nei sistemi IT. Molte applicazioni, servizi, sistemi operativi e dispositivi di network device generano registri degli eventi; esempi includono i registri degli eventi di Microsoft Windows e Syslog. I manager IT e gli amministratori utilizzano i registri di controllo per individuare attività sospette e indagare sugli incidenti.

Il formato dei dati di log può variare notevolmente tra le fonti, ma in generale i log registrano gli eventi annotando:

• Il momento in cui si è verificato l'evento
• Dettagli su cosa è successo e dove
• Informazioni su quale utente ha causato l'evento
• Dettagli sulla reazione del sistema, inclusi messaggi come “Audit Failure”, “Request accepted” o “Access denied”.

Mantenere una buona traccia di controllo è così importante che il Center for Internet Security (CIS) elenca la gestione dei log come uno dei suoi critical security controls. Inoltre, molti standard e regolamenti, come lo Payment Card Industry Data Security Standard (PCI DSS), il Health Insurance Portability and Accountability Act (HIPAA), il Sarbanes-Oxley (SOX) Act e il Gramm-Leach-Bliley Act richiedono alle aziende di creare e mantenere log di controllo per la conformità e possono richiedere di coprire specifiche categorie di eventi. Ad esempio, il PCI DSS richiede il monitoraggio dell'accesso ai dati dei titolari di carta e varie leggi sulla data privacy law regolano come le aziende raccolgono, conservano e condividono i dati dei clienti.

Cosa comporta il monitoraggio dei log di audit?

Il monitoraggio dei log di audit consiste solitamente nei seguenti passaggi:

1. Raccolta dei log

Il primo passo nel monitoraggio dei log degli eventi è decidere:

• Da quali computer, software, dispositivi e altri sistemi raccogliere eventi
• Quali impostazioni utilizzare per ogni registro, come ad esempio se usare la dimensione predefinita del registro
• Come verranno memorizzati e raccolti i dati
• Come dovrebbero apparire le impostazioni dell'ora normalizzate (sorgente e fuso orario)

Anche se potrebbe sembrare saggio raccogliere tutte le informazioni da tutte le fonti, questa strategia può essere piuttosto costosa a causa della necessità di immagazzinare ed elaborare enormi quantità di dati. Invece, le organizzazioni dovrebbero determinare attentamente quali eventi raccogliere da quali fonti, bilanciando il desiderio di una raccolta dati completa contro i costi associati.

2. Aggregazione dei log

Una volta iniziata la raccolta dei dati di log, è necessario aggregarli in un unico luogo. Una buona opzione è implementare una soluzione di gestione dei log che possa aggregare grandi volumi di dati provenienti da molteplici fonti.

3. Analisi dei Log

Successivamente, i file di log aggregati devono essere analizzati. L'esempio più semplice è dividere le stringhe di log continue in campi separati.

4. Normalizzazione dei Log

Diversi sistemi utilizzano formati differenti per i loro file di log, come ad esempio CEF, JSON o CSV. Per consentire agli utenti e ai sistemi di leggere e analizzare i dati, è necessario standardizzarli in un formato comune.

5. Correlazione degli eventi

La correlazione degli eventi è il processo di individuazione delle relazioni tra eventi in diversi log, come i log di Active Directory security, i log del firewall e i log del database. Ad esempio, se si verifica un'interruzione del server, potresti voler identificare quali applicazioni sono state impattate confrontando gli eventi nei log del server e dell'applicazione.

Il tipo più comune di correlazione degli eventi utilizza regole per abbinare le voci di registro in base al tipo di evento, timestamp, indirizzo IP e altri criteri. La correlazione degli eventi si basa spesso sull'analisi statistica.

6. Analisi dei Log

Infine, per concentrarsi sulle minacce reali e altri eventi critici, è necessario analizzare i propri dati. Le piattaforme centralizzate di gestione dei log possono automatizzare e semplificare il processo di analisi dei dati di log. Utilizzano la visualizzazione per evidenziare le somiglianze e le correlazioni tra gli eventi, rendendo più semplice individuare problemi, rintracciare le cause principali e determinare le azioni di risposta appropriate.

Soluzioni SIEM per il monitoraggio dei log di audit

Le soluzioni di Security information and event management (SIEM) possono fornire un monitoraggio dei log efficiente e affidabile. SIEM il software raccoglie tipicamente dati di log generati da molteplici fonti, correla eventi, esegue analisi avanzate di minacce e offre capacità di allerta, consentendo ai team IT di rispondere rapidamente.

Tuttavia, gli strumenti di monitoraggio dei log SIEM presentano alcuni svantaggi. In particolare, spesso sono:

• Complesso e costoso: Rispetto alle soluzioni di gestione dei log, gli strumenti SIEM sono più complicati da operare e configurare. Di conseguenza, possono richiedere personale dedicato — e costoso.
• Non progettato per identificare vulnerabilità: I SIEM sono costruiti per rilevare minacce attive, ma non possono individuare lacune di sicurezza per ridurre la superficie di attacco o aiutarti a capire quali dati sono sensibili e richiedono protezione.
• Probabilmente genereranno falsi allarmi: gli strumenti SIEM possono generare numerosi falsi allarmi. I team IT impiegheranno enormi quantità di tempo ad indagarli se gli strumenti non sono configurati correttamente.

Estendi le tue capacità di monitoraggio dei log con le soluzioni Netwrix

I prodotti Netwrix offrono un approccio alla sicurezza più olistico rispetto alle soluzioni SIEM:

• Netwrix Auditor vi aiuterà a eseguire valutazioni periodiche dei rischi per migliorare la sicurezza, superare le verifiche di conformità e ottimizzare le operazioni IT.
• Netwrix Change Tracker ti aiuterà a stabilire e mantenere configurazioni sicure dei sistemi critici.
• Netwrix Data Classification identificherà e classificherà i contenuti sensibili e critici per l'azienda in tutta la vostra organizzazione.
• Netwrix StealthDEFENDe Netwrix Threat Prevention ti aiuteranno a identificare e rispondere a comportamenti anomali e attacchi avanzati.

FAQ

Cos'è l'audit dei log degli eventi?

L'audit dei log degli eventi è il processo di elaborazione e analisi dei log dei sistemi IT aziendali.

Cos'è il monitoraggio dei log di controllo?

Il monitoraggio dei registri di controllo è un altro termine per l'audit dei registri degli eventi. Un altro termine interscambiabile è l'audit dei file di registro.

Cosa ti dicono i log degli eventi?

I log degli eventi contengono informazioni sul funzionamento e l'utilizzo di sistemi operativi, dispositivi e applicazioni.