Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Una guida al CIS Control 8: Audit Log Management

Una guida al CIS Control 8: Audit Log Management

Jun 16, 2022

Introduzione a CIS Control 8

CIS Control 8 Center for Internet Security (CIS) versione 8 copre la gestione dei registri di controllo. (Nella versione 7, questo argomento era trattato dal Controllo 6.) Questo controllo di sicurezza dettaglia importanti misure di salvaguardia per stabilire e mantenere i registri di controllo, inclusa la loro raccolta, archiviazione, sincronizzazione temporale, conservazione e revisione.

Contenuti correlati selezionati:

Durante l'implementazione del sistema vengono configurati indipendentemente due tipi di log:

  • I log di sistema forniscono dati sugli eventi a livello di sistema come gli orari di inizio e fine dei processi.
  • I log di controllo includono eventi a livello utente come accessi e accesso ai file. I log di controllo sono fondamentali per indagare sugli incidenti di cybersecurity e richiedono più sforzo di configurazione rispetto ai log di sistema.

Gestione dei log

Poiché gli ambienti IT generano così tanti eventi, è necessario un sistema di gestione dei log per assicurarsi di catturare informazioni preziose e di poterle analizzare rapidamente. Tutti gli asset software e hardware, inclusi firewall, proxy, VPN e sistemi di accesso remoto, dovrebbero essere configurati per conservare dati di valore.

Inoltre, le migliori pratiche consigliano che le organizzazioni scansionino periodicamente i loro log e li confrontino con l'inventario dei beni IT (che dovrebbe essere assemblato in conformità con CIS Control 1) per valutare se ogni bene è attivamente connesso alla rete e genera log come previsto.

Un aspetto della gestione efficace dei log che spesso viene trascurato è la necessità di sincronizzare l'orario di tutti i sistemi con un server centrale del Network Time Protocol (NTP) per stabilire una chiara sequenza degli eventi.

Il ruolo della gestione dei log

La gestione dei log implica la raccolta, la revisione e la conservazione dei log, nonché l'allerta di attività sospette nella rete o su un sistema. Una corretta gestione dei log aiuta le organizzazioni a rilevare i primi segni di una violazione o attacco che compaiono nei log di sistema.

Aiuta anche a indagare e recuperare da incidenti di sicurezza. I log di controllo forniscono un dettaglio a livello forense, inclusa una registrazione passo dopo passo dell'origine, identità e metodologia degli aggressori. I log di controllo sono inoltre fondamentali per la medicina legale degli incidenti, indicandoti quando e come è avvenuto l'attacco, quali informazioni sono state accedute e se i dati sono stati rubati o distrutti. I log sono essenziali anche per le indagini successive e possono essere utilizzati per individuare l'inizio di qualsiasi attacco protratto che sia rimasto non rilevato per settimane o mesi.

Una disamina del CIS Control 8: Audit Log Management per guidare i tuoi sforzi di conformità segue.

Safeguard 8.1: Stabilire e mantenere un processo di gestione dei log di controllo

Stabilire e mantenere un processo di gestione dei registri di controllo che definisca i requisiti di registrazione dell'impresa. Come minimo, affrontare la raccolta, la revisione e la conservazione dei registri di controllo per le risorse aziendali. Rivedere e aggiornare la documentazione annualmente o quando cambiamenti significativi dell'impresa potrebbero influenzare questa salvaguardia.

Perché è necessario il registro di controllo?

I log di audit catturano e registrano eventi e modifiche nei dispositivi IT in tutta la rete. Come minimo, i dati dei log dovrebbero includere:

  • Gruppo — Il team, l'organizzazione o l'account da cui origina l'attività
  • Attore — Gli UUID, i nomi utente e i nomi dei token API dell'account responsabile dell'azione
  • Nome dell'evento — Il nome standard per un evento specifico
  • Descrizione — Una descrizione comprensibile che può includere collegamenti a informazioni correlate
  • Azione — Come è stato modificato l'oggetto
  • Tipo di azione — Il tipo di azione, come creare, leggere, aggiornare o eliminare
  • Quando — Il timestamp sincronizzato NTP
  • Dove — Il paese di origine, il numero di ID del dispositivo o l'indirizzo IP di origine

Gli amministratori di sistema e gli ispettori utilizzano questi dettagli per esaminare attività di rete sospette e risolvere problemi. I log forniscono una base di riferimento per il comportamento normale e intuizioni sul comportamento anomalo.

Vantaggi della registrazione degli audit

La registrazione degli audit offre i seguenti vantaggi:

  • Miglioramento della sicurezza, basato sulle intuizioni relative all'attività
  • Prova di conformità con standard e regolamenti come HIPAA e PCI DSS
  • Gestione del rischio per controllare i livelli di rischio e dimostrare la dovuta diligenza agli stakeholder

I quattro passaggi del registro di controllo

Passo 1. Inventaria i tuoi sistemi e hardware e stabilisci le priorità preliminari.

Effettua un inventario di tutti i dispositivi e sistemi all'interno della rete, inclusi:

  • Computer
  • Server
  • Dispositivi mobili
  • Piattaforme di archiviazione file
  • Dispositivi di rete come firewall, switch e router

Attribuisci un valore ai dati memorizzati in ogni risorsa. Considera il valore dei ruoli che queste risorse svolgono e la criticità dei dati per scopi aziendali. L'obiettivo è una valutazione del rischio stimata per ogni risorsa per future valutazioni.

Passaggio 2. Consolida e sostituisci le risorse.

Utilizza l'inventario per valutare l'attrezzatura e le piattaforme datate da sostituire. Includi il tempo stimato necessario per implementare le sostituzioni o consolidare le piattaforme con l'obiettivo finale di eseguire un'auditoria del tuo ambiente.

Determina facilmente gli asset soggetti a revisione rispetto a quelli che richiedono uno sforzo di revisione aggiuntivo. Documenta tutto per misurare i progressi e creare un riferimento per gli auditor.

Passaggio 3. Categorizzare le risorse rimanenti dalla più alla meno verificabile.

Rivedi i tuoi sistemi rimanenti e determina come si relazionano alla memorizzazione dei dati o al controllo degli accessi. Categorizza le risorse in base alla probabilità prevista di un audit. Assicurati che le informazioni a più alto rischio o valore siano conservate nei sistemi più facilmente sottoponibili a revisione.

Passaggio 4. Cerca una soluzione di auditing che copra il maggior numero di asset nel minor tempo possibile.

Quando si sceglie una soluzione, cercare un fornitore con un ampio set di strumenti e un eccellente servizio clienti. Il fornitore dovrebbe avere una comprovata esperienza nel fornire miglioramenti e aggiornamenti del prodotto per stare al passo con i requisiti di auditing in costante cambiamento e l'ambiente di rischio.

Per semplificare la gestione, ridurre al minimo il numero di licenze, contatti e accordi di supporto. Inoltre, cercare licenze flessibili, scalabilità e archiviazione centralizzata a lungo termine che soddisfi le vostre esigenze.

Safeguard 8.2: Raccogliere i log di controllo

Raccogli i log di audit. Assicurati che la registrazione sia stata abilitata su tutti gli asset aziendali secondo il processo di gestione dei log di audit dell'impresa.

Ogni organizzazione dovrebbe verificare quanto segue:

  • Sistemi, inclusi tutti i punti di accesso
  • Dispositivi, inclusi server web, server di autenticazione, switch, router e workstation
  • Applicazioni, inclusi firewall e altre soluzioni di sicurezza

Safeguard 8.3: Assicurare una adeguata memorizzazione dei log di controllo

Assicurati che le destinazioni di registrazione mantengano una capacità di archiviazione adeguata per conformarsi al processo di gestione dei log dell'impresa.

La memorizzazione dei log di audit è un requisito della maggior parte delle normative e degli standard legali. Inoltre, la conservazione dei log è necessaria per consentire l'analisi forense per indagare e rimediare a un evento.

I tipi principali di dati da conservare includono:

  • ID utente e credenziali
  • Identità terminali
  • Modifiche alla configurazione del sistema
  • Data e ora dell'evento
  • Tentativi di accesso riusciti e falliti

La pubblicazione NIST SP 800-92 Sezioni 5.1 e 5.4 trattano dello sviluppo delle politiche e della gestione dello stoccaggio a lungo termine.

Periodi di conservazione dei log

La politica organizzativa dovrebbe determinare la durata della memorizzazione dei dati in ogni log in base al valore dei dati e ad altri fattori:

  • Non memorizzato — Dati di scarso valore
  • Solo a livello di sistema — Dati di un certo valore per l'amministrazione del sistema ma non sufficienti per essere inviati all'infrastruttura di gestione dei log
  • Sia a livello di sistema che di infrastruttura — Dati richiesti per la conservazione e la centralizzazione
  • Infrastruttura esclusiva — Quando i log di sistema hanno una capacità di archiviazione limitata

La politica stabilisce anche la rotazione locale dei log per tutte le fonti di log. È possibile configurare i propri log affinché ruotino regolarmente e quando il log raggiunge la sua dimensione massima. Se i log sono in un formato proprietario che non consente una facile rotazione, è necessario decidere se interrompere la registrazione, sovrascrivere le voci più vecchie o fermare il generatore di log.

I periodi di conservazione dei log dipendono dalla natura della tua attività e dalle politiche organizzative. La maggior parte delle imprese conserva i log di audit, i log IDS e i log dei firewall per almeno due mesi. Alcune normative richiedono una conservazione che varia da sei mesi a sette anni.

Se devi conservare i log per un periodo relativamente lungo, dovresti scegliere un formato di log per tutti i dati archiviati e utilizzare un tipo specifico di supporto di backup selezionato in base al tuo budget e ad altri fattori. Verifica l'integrità dei log trasferiti e conserva il supporto in modo sicuro in una sede esterna.

Safeguard 8.4: Standardizzare la sincronizzazione dell'orario

Standardizzare la sincronizzazione dell'orario. Configurare almeno due fonti di tempo sincronizzate su tutti gli asset aziendali, dove supportato.

Ogni host che genera log fa riferimento a un orologio interno per marcare temporalmente gli eventi. Il mancato sincronismo dei log con una fonte temporale centrale può causare problemi nell'indagine forense delle cronologie degli incidenti e portare a interpretazioni errate dei dati dei log. Sincronizzare i timestamp tra le risorse consente la correlazione degli eventi e una traccia di verifica accurata, specialmente se i log provengono da più host.

Safeguard 8.5: Raccogliere log di audit dettagliati

Configurate una registrazione dettagliata degli eventi di audit per le risorse aziendali che contengono dati sensibili. Includete la fonte dell'evento, la data, il nome utente, il timestamp, gli indirizzi sorgente, gli indirizzi di destinazione e altri elementi utili che potrebbero assistere in un'indagine forense.

L'analisi forense dei log è impossibile senza dettagli. Oltre alle informazioni indicate nella salvaguardia, è necessario anche registrare le voci degli eventi poiché forniscono informazioni relative a un evento specifico che si è verificato e ha impattato su un dispositivo coperto.

Raccogliere log di audit dettagliati per:

  • Eventi del sistema operativo — Avvio e spegnimento del sistema, avvio e spegnimento dei servizi, modifiche o errori nelle connessioni di rete e tentativi riusciti e falliti di modificare le impostazioni e i controlli di sicurezza del sistema
  • Registrazioni di audit del sistema operativo — Tentativi di accesso, funzioni eseguite dopo il login, modifiche agli account, informazioni e operazioni

Ogni registro di controllo dovrebbe fornire quanto segue:

  • Timestamp
  • Evento, stato e codici di errore
  • Tempo di servizio/comando/applicazione
  • Utente o account di sistema associato all'evento
  • Dispositivo utilizzato e IP sorgente e destinazione
  • ID della sessione terminale
  • Browser web
  • Altri dati come richiesto

Safeguard 8.6: Raccogli i log di audit delle query DNS

Raccogli i log di audit delle query DNS sugli asset aziendali, dove appropriato e supportato.

L'importanza di raccogliere i log di audit delle query DNS

La raccolta dei log di audit delle query DNS riduce l'impatto di un attacco DNS. L'evento di log può includere:

  • Aggiornamenti dinamici
  • Trasferimenti di zona
  • Limitazione della frequenza
  • Firma DNS
  • Altri dettagli importanti

Rischi e attacchi DNS

Il dirottamento DNS utilizza malware per modificare i server dei nomi configurati nelle workstation e fare in modo che le richieste DNS vengano inviate a server malevoli. Il dirottamento consente phishing, pharming, distribuzione di malware e pubblicazione di una versione contraffatta del tuo sito web.

Il tunneling DNS si riferisce all'accesso a query DNS, termini e risposte contenenti payload di dati che possono trasportare malware, dati rubati, protocolli bidirezionali, diritti e informazioni di comando e controllo.

Gli attacchi di tipo Denial of service (DoS) aumentano il carico sul tuo server fino a quando non può più rispondere alle richieste legittime.

L'avvelenamento della cache DNS, noto anche come spoofing, è simile al dirottamento, dove il resolver DNS accetta un record di origine non valido a causa di una vulnerabilità.

Safeguard 8.7: Raccogli i log di audit delle richieste URL

Raccogli i log di audit delle richieste URL su asset aziendali, dove appropriato e supportato.

Le richieste URL possono esporre informazioni attraverso la stringa di query e passare dati sensibili ai parametri nell'URL. Gli aggressori possono così ottenere nomi utente, password, token e altre informazioni potenzialmente sensibili. L'utilizzo di HTTPS non risolve questa vulnerabilità.

I rischi potenziali legati alle richieste URL includono:

  • Navigazione forzata
  • Percorso di attraversamento o manipolazione
  • Iniezione di risorse

Safeguard 8.8: Raccogli i log di audit della riga di comando

Raccogliere i log di audit della riga di comando. Esempi di implementazione includono la raccolta di log di audit da PowerShell®, BASH®, e terminali amministrativi remoti.

Un attore di minaccia può utilizzare una trasmissione di dati non sicura, come cookie e moduli, per iniettare un comando nel shell di sistema di un server web. L'attaccante sfrutta quindi i privilegi delle applicazioni vulnerabili. L'iniezione di comando include l'esecuzione diretta di comandi shell, l'iniezione di file maligni nell'ambiente di runtime e lo sfruttamento delle vulnerabilità dei file di configurazione.

Un rischio legato a un exploit da riga di comando è l'esecuzione di comandi arbitrari sul sistema operativo, specialmente quando un'applicazione passa dati forniti dall'utente non sicuri a un sistema shell.

Di conseguenza, le organizzazioni dovrebbero registrare i dati relativi all'uso della riga di comando.

Safeguard 8.9: Centralizzare i log di audit

Nella misura del possibile, centralizzare la raccolta e la conservazione dei log di controllo su tutti gli asset aziendali.

Gli hacker utilizzano spesso la tattica di eliminare i file di log locali per cancellare le prove della loro attività. Un database sicuro centralizzato dei dati di log sconfigge questa tattica e consente il confronto dei log tra più sistemi.

Safeguard 8.10: Conservare i log di audit

Conservare i log di audit su tutti gli asset aziendali per un minimo di 90 giorni.

I vantaggi della conservazione dei log includono la facilitazione dell'analisi forense degli attacchi scoperti molto tempo dopo che il sistema è stato compromesso. Molti standard e regolamenti richiedono la conservazione dei log di audit per la conformità, e la preservazione dei dati dei log aiuta a garantire l'integrità dei dati.

I log tracciano tutte le modifiche ai record in modo che tu possa scoprire le modifiche non autorizzate eseguite da una fonte esterna o a causa di errori nello sviluppo interno o nell'amministrazione del sistema.

Safeguard 8.11: Effettuare revisioni dei log di audit

Effettua revisioni dei registri di controllo per rilevare anomalie o eventi insoliti che potrebbero indicare una potenziale minaccia. Effettua revisioni su base settimanale o più frequente.

Esaminare i log per rilevare eventi anomali che potrebbero segnalare una minaccia. Utilizzarli per abbinare gli endpoint all'inventario e configurare nuovi endpoint se necessario. Inoltre, esaminare i log di controllo per assicurarsi che il sistema generi i log appropriati.

Effettua revisioni settimanali o più frequentemente.

Proteggi 8.12 Raccogli i log dei fornitori di servizi

Raccogli i log dei fornitori di servizi, dove supportato. Esempi di implementazioni includono la raccolta di eventi di autenticazione e autorizzazione, eventi di creazione e smaltimento dei dati, e eventi di gestione degli utenti.

Anche se il tuo fornitore di servizi può garantire la sicurezza, vuoi verificare l'integrità dei log che ricevi e assicurarti che il fornitore rispetti le normative. Inoltre, in caso di incidente, hai bisogno dei dati per l'analisi forense.

Il fornitore dovrebbe raccogliere eventi di autenticazione e autorizzazione, eventi di creazione e smaltimento dei dati, e eventi di gestione degli utenti.

Con la crescita del cloud computing, gli attaccanti prendono di mira sempre più spesso i servizi. Un hacker potrebbe falsificare un URL e reindirizzare l'utente verso un sito di un fornitore fasullo o causare altri danni. Se un fornitore di servizi subisce un problema di sicurezza, potrebbe non notificare tempestivamente i suoi clienti. Inoltre, potresti scoprire che il fornitore di servizi non dispone del livello di sicurezza che ti aspetti o richiedi.

Sommario

Il Controllo 8 contiene salvaguardie aggiornate per la gestione dei log di controllo, una funzione critica richiesta per stabilire e mantenere i log di controllo, inclusa la raccolta, l'archiviazione, la sincronizzazione temporale, la conservazione e la revisione.

Ogni misura di sicurezza affronta un aspetto della gestione dei log di controllo per aiutarti a mantenere la conformità con gli standard e fornirti informazioni in caso di audit o attacchi.

FAQ

Cosa significa registro di controllo?

Un registro di controllo è un metodo per conservare dati sugli eventi a livello utente. Contiene informazioni specifiche per aiutare a identificare l'attore e le azioni intraprese.

Qual è la funzione di un registro di controllo?

Il log può essere utilizzato per analisi forensi in caso di attacco e per determinare l'integrità dei dati del log. Fornisce inoltre prova del rispetto degli standard.

Cosa dovrebbe essere incluso in un registro di controllo?

Un registro di controllo dovrebbe includere quanto segue:

  • Gruppo
  • Attore
  • Tipo di azione
  • Nome e descrizione dell'evento
  • Timestamp
  • Luogo di origine

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Dirk Schrader

VP della Ricerca sulla Sicurezza

Dirk Schrader è un Resident CISO (EMEA) e VP of Security Research presso Netwrix. Con 25 anni di esperienza nella sicurezza informatica e certificazioni come CISSP (ISC²) e CISM (ISACA), lavora per promuovere la cyber resilience come approccio moderno per affrontare le minacce informatiche. Dirk ha lavorato a progetti di cybersecurity in tutto il mondo, iniziando con ruoli tecnici e di supporto all'inizio della sua carriera per poi passare a posizioni di vendita, marketing e gestione prodotti sia in grandi multinazionali che in piccole startup. Ha pubblicato numerosi articoli sull'esigenza di affrontare la gestione dei cambiamenti e delle vulnerabilità per raggiungere la cyber resilience.

Scopri di più su questo argomento

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Cos'è la gestione dei documenti elettronici?

Analisi quantitativa del rischio: Aspettativa di perdita annuale

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza