Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Um Guia para o CIS Control 8: Audit Log Management

Um Guia para o CIS Control 8: Audit Log Management

Jun 16, 2022

Introdução ao CIS Control 8

O CIS Control 8 Center for Internet Security (CIS) versão 8 abrange a gestão de logs de auditoria. (Na versão 7, este tópico era abordado pelo Controle 6.) Este controle de segurança detalha salvaguardas importantes para estabelecer e manter logs de auditoria, incluindo sua coleta, armazenamento, sincronização de tempo, retenção e revisão.

Conteúdo relacionado selecionado:

Dois tipos de registros são configurados independentemente durante a implementação do sistema:

  • Os logs do sistema fornecem dados sobre eventos em nível de sistema, como horários de início e término de processos.
  • Os registros de auditoria incluem eventos no nível do usuário, como logins e acesso a arquivos. Os registros de auditoria são críticos para investigar incidentes de cibersegurança e exigem mais esforço de configuração do que os registros do sistema.

Gerenciamento de logs

Porque os ambientes de TI geram tantos eventos, você precisa de gerenciamento de logs para garantir que capture informações valiosas e possa analisá-las rapidamente. Todos os ativos de software e hardware, incluindo firewalls, proxies, VPNs e sistemas de acesso remoto, devem ser configurados para reter dados valiosos.

Além disso, as melhores práticas recomendam que as organizações verifiquem seus registros periodicamente e os comparem com o inventário de ativos de TI (que deve ser montado de acordo com o CIS Control 1) para avaliar se cada ativo está ativamente conectado à sua rede e gerando registros conforme esperado.

Um aspecto do gerenciamento eficaz de logs que é frequentemente negligenciado é a necessidade de ter todos os sistemas sincronizados com um servidor central de Network Time Protocol (NTP) para estabelecer uma sequência clara de eventos.

O papel da gestão de logs

A gestão de logs envolve a coleta, revisão e retenção de logs, bem como o alerta sobre atividades suspeitas na rede ou em um sistema. Uma gestão de logs adequada ajuda as organizações a detectar sinais precoces de uma violação ou ataque que aparecem nos logs do sistema.

Isso também ajuda na investigação e recuperação de incidentes de segurança. Os registros de auditoria fornecem um detalhamento de nível forense, incluindo um registro passo a passo da origem, identidade e metodologia dos atacantes. Os registros de auditoria são também críticos para a perícia de incidentes, informando quando e como o ataque ocorreu, quais informações foram acessadas e se os dados foram roubados ou destruídos. Os registros são igualmente essenciais para investigações subsequentes e podem ser usados para identificar o início de qualquer ataque prolongado que tenha passado despercebido por semanas ou meses.

Uma análise detalhada do CIS Control 8: Audit Log Management para orientar seus esforços de conformidade a seguir.

Safeguard 8.1: Estabeleça e mantenha um processo de gerenciamento de logs de auditoria

Estabeleça e mantenha um processo de gestão de registros de auditoria que defina os requisitos de registro da empresa. No mínimo, aborde a coleta, análise e retenção de registros de auditoria para os ativos da empresa. Reveja e atualize a documentação anualmente ou quando mudanças significativas na empresa puderem impactar essa salvaguarda.

Por que é necessário o registro de auditoria?

Os registros de auditoria capturam e registram eventos e alterações em dispositivos de TI em toda a rede. No mínimo, os dados de log devem incluir:

  • Grupo — A equipe, organização ou conta de onde a atividade se origina
  • Ator — Os UUIDs, nomes de usuário e nomes de tokens de API da conta responsável pela ação
  • Nome do evento — O nome padrão para um evento específico
  • Descrição — Uma descrição compreensível que pode incluir links para informações relacionadas
  • Ação — Como o objeto foi alterado
  • Tipo de ação — O tipo de ação, como criar, ler, atualizar ou excluir
  • Quando — O carimbo de data/hora sincronizado pelo NTP
  • Onde — O país de origem, número de identificação do dispositivo ou endereço IP de origem

Os administradores de sistema e auditores utilizam esses detalhes para examinar atividades suspeitas na rede e resolver problemas. Os registros fornecem uma base para o comportamento normal e visão sobre comportamentos anormais.

Vantagens do registro de auditoria

O registro de auditoria possui as seguintes vantagens:

  • Melhoria da segurança, com base nas percepções sobre a atividade
  • Prova de conformidade com padrões e regulamentos como HIPAA e PCI DSS
  • Gestão de riscos para controlar os níveis de risco e demonstrar a devida diligência aos stakeholders

Os quatro passos do registro de auditoria

Passo 1. Inventarie seus sistemas e hardware e estabeleça prioridades preliminares.

Faça um inventário de todos os dispositivos e sistemas dentro da rede, incluindo:

  • Computadores
  • Servidores
  • Dispositivos móveis
  • Plataformas de armazenamento de arquivos
  • Dispositivos de rede como firewalls, switches e roteadores

Atribua um valor aos dados armazenados em cada ativo. Considere o valor das funções que esses ativos desempenham e a criticidade dos dados para fins comerciais. O objetivo é uma avaliação de risco estimada para cada ativo para avaliações futuras.

Passo 2. Consolide e substitua os ativos.

Utilize o inventário para avaliar equipamentos e plataformas antigos para substituição. Inclua o tempo estimado necessário para implementar substituições ou consolidar plataformas com o objetivo final de auditar seu ambiente.

Determine facilmente os ativos que são auditados versus ativos que requerem um esforço adicional de auditoria. Documente tudo para medir o progresso e criar uma referência para os auditores.

Etapa 3. Categorize os recursos restantes do mais ao menos auditável.

Revise seus sistemas restantes e determine como eles se relacionam com o armazenamento de dados ou controle de acesso. Categorize os ativos com base na probabilidade esperada de uma auditoria. Garanta que as informações com maior risco ou valor estejam armazenadas nos sistemas mais facilmente auditáveis.

Etapa 4. Procure uma solução de auditoria que cubra o maior número de ativos no menor tempo possível.

Ao selecionar uma solução, procure um fornecedor com um amplo conjunto de ferramentas e um excelente atendimento ao cliente. O fornecedor deve ter um histórico comprovado de fornecimento de melhorias e atualizações de produtos para acompanhar os requisitos de auditoria em constante mudança e o ambiente de risco.

Para simplificar a gestão, minimize o número de licenças, contatos e acordos de suporte. Além disso, procure por licenciamento flexível, escalabilidade e armazenamento centralizado de longo prazo que atenda às suas necessidades.

Safeguard 8.2: Coletar logs de auditoria

Colete registros de auditoria. Garanta que o registro foi ativado em todos os ativos da empresa conforme o processo de gerenciamento de registros de auditoria da empresa.

Cada organização deve auditar o seguinte:

  • Sistemas, incluindo todos os pontos de acesso
  • Dispositivos, incluindo servidores web, servidores de autenticação, switches, roteadores e estações de trabalho
  • Aplicações, incluindo firewalls e outras soluções de segurança

Safeguard 8.3: Garanta armazenamento adequado de logs de auditoria

Certifique-se de que os destinos de registro mantenham armazenamento adequado para cumprir com o processo de gerenciamento de logs da empresa.

Armazenar logs de auditoria é um requisito da maioria das regulamentações legais e padrões. Além disso, o armazenamento de logs é necessário para possibilitar a análise forense para investigar e remediar um evento.

Os principais tipos de dados a reter incluem:

  • IDs de usuário e credenciais
  • Identidades terminais
  • Alterações na configuração do sistema
  • Data e hora do evento
  • Tentativas de logon bem-sucedidas e mal-sucedidas

A publicação NIST SP 800-92 Seções 5.1 e 5.4 abordam o desenvolvimento de políticas e a gestão de armazenamento a longo prazo.

Períodos de retenção de logs

A política organizacional deve determinar por quanto tempo cada log deve armazenar dados dependendo do valor dos dados e outros fatores:

  • Não armazenado — Dados de pouco valor
  • Apenas no nível do sistema — Dados de algum valor para a administração do sistema, mas não suficientes para serem enviados para a infraestrutura de gerenciamento de logs
  • Tanto no nível do sistema quanto no nível da infraestrutura — Dados necessários para retenção e centralização
  • Infraestrutura apenas — Quando os registros do sistema têm capacidade de armazenamento limitada

A política também define a rotação local de logs para todas as fontes de log. Você pode configurar seus logs para que sejam rotacionados regularmente e quando o log atingir seu tamanho máximo. Se os logs estiverem em um formato proprietário que não permita uma rotação fácil, você deve decidir se para de registrar, sobrescreve as entradas mais antigas ou interrompe o gerador de log.

Os períodos de retenção de logs dependem da natureza do seu negócio e das políticas organizacionais. A maioria das empresas mantém logs de auditoria, logs de IDS e logs de firewall por pelo menos dois meses. Algumas regulamentações exigem de seis meses a sete anos.

Se você precisa reter registros por um período relativamente longo, deve escolher um formato de log para todos os dados arquivados e usar um tipo específico de mídia de backup conforme selecionado pelo seu orçamento e outros fatores. Verifique a integridade dos registros transferidos e armazene a mídia de forma segura fora do local.

Safeguard 8.4: Padronize a sincronização de tempo

Padronize a sincronização de tempo. Configure pelo menos duas fontes de tempo sincronizadas em ativos empresariais, onde suportado.

Cada host que gera logs referencia um relógio interno para marcar eventos com data e hora. A falha em sincronizar os logs com uma fonte de tempo central pode causar problemas na investigação forense de cronologias de incidentes e levar a interpretações errôneas dos dados de log. Sincronizar os carimbos de data/hora entre os ativos permite a correlação de eventos e um rastro de auditoria preciso, especialmente se os logs forem de múltiplos hosts.

Safeguard 8.5: Colete logs de auditoria detalhados

Configure o registro detalhado de auditoria para ativos empresariais que contenham dados sensíveis. Inclua a fonte do evento, data, nome de usuário, carimbo de data/hora, endereços de origem, endereços de destino e outros elementos úteis que possam auxiliar em uma investigação forense.

A análise forense de logs é impossível sem detalhes. Além das informações declaradas na proteção, você também precisa capturar entradas de eventos pois elas fornecem informações relacionadas a um evento específico que ocorreu e impactou um dispositivo coberto.

Coletar logs de auditoria detalhados para:

  • Eventos do sistema operacional — Inicialização e desligamento do sistema, inicialização e desligamento de serviços, mudanças ou falhas na conexão de rede e tentativas bem-sucedidas e mal-sucedidas de alterar configurações e controles de segurança do sistema
  • Registros de auditoria do sistema operacional — Tentativas de logon, funções realizadas após o login, alterações de conta, informações e operações

Cada registro de auditoria deve fornecer o seguinte:

  • Timestamp
  • Evento, status e quaisquer códigos de erro
  • Tempo de serviço/comando/aplicação
  • Usuário ou conta de sistema associada ao evento
  • Dispositivo utilizado e IPs de origem e destino
  • ID da sessão do terminal
  • Navegador web
  • Outros dados conforme necessário

Safeguard 8.6: Coletar logs de auditoria de consultas DNS

Colete logs de auditoria de consultas DNS em ativos empresariais, onde for apropriado e suportado.

A importância de coletar logs de auditoria de consultas DNS

Coletar registros de auditoria de consultas DNS reduz o impacto de um ataque DNS. O evento de log pode incluir:

  • Atualizações dinâmicas
  • Transferências de zona
  • Limitação de taxa
  • Assinatura de DNS
  • Outros detalhes importantes

Riscos e ataques de DNS

O sequestro de DNS utiliza malware para modificar os servidores de nomes configurados na estação de trabalho e fazer com que as solicitações de DNS sejam enviadas para servidores maliciosos. O sequestro permite phishing, pharming, distribuição de malware e publicação de uma versão desfigurada do seu site.

DNS tunneling refere-se ao acesso a consultas DNS, termos e respostas contendo cargas de dados que possivelmente transportam malware, dados roubados, protocolos bidirecionais, direitos e informações de comando e controle.

Ataques de negação de serviço (DoS) aumentam a carga no seu servidor até que ele não possa responder a solicitações legítimas.

Envenenamento de cache DNS, também conhecido como spoofing, é semelhante ao sequestro, onde o resolvedor DNS aceita um registro de fonte inválido devido a uma vulnerabilidade.

Safeguard 8.7: Coletar logs de auditoria de solicitações de URL

Colete registros de auditoria de solicitações de URL em ativos empresariais, onde for apropriado e suportado.

As solicitações de URL podem expor informações através da string de consulta e passar dados sensíveis para os parâmetros na URL. Os atacantes então obtêm nomes de usuário, senhas, tokens e outras informações potencialmente sensíveis. Usar HTTPS não resolve essa vulnerabilidade.

Os riscos possíveis relacionados a solicitações de URL incluem:

  • Navegação forçada
  • Manipulação ou transversal de caminho
  • Injeção de recursos

Safeguard 8.8: Coletar logs de auditoria de linha de comando

Coletar logs de auditoria de linha de comando. Exemplos de implementações incluem a coleta de logs de auditoria do PowerShell®, BASH®, e terminais administrativos remotos.

Um ator de ameaças pode usar uma transmissão de dados insegura, como cookies e formulários, para injetar um comando no shell do sistema de um servidor web. O atacante então se aproveita dos privilégios das aplicações vulneráveis. A injeção de comando inclui a execução direta de comandos do shell, injetando arquivos maliciosos no ambiente de execução e explorando vulnerabilidades de arquivos de configuração.

Um risco associado a um exploit de linha de comando é a execução de comandos arbitrários no sistema operacional, especialmente quando uma aplicação passa dados fornecidos pelo usuário, que não são seguros, para um shell do sistema.

Assim, as organizações devem registrar dados sobre o uso da linha de comando.

Safeguard 8.9: Centralize registros de auditoria

Na medida do possível, centralize a coleta e retenção de logs de auditoria em todos os ativos da empresa.

Hackers frequentemente usam a tática de deletar arquivos de log locais para eliminar evidências de suas atividades. Um banco de dados centralizado e seguro de dados de log impede essa tática e permite a comparação de logs entre múltiplos sistemas.

Safeguard 8.10: Retenha logs de auditoria

Mantenha os registros de auditoria em todos os ativos empresariais por um período mínimo de 90 dias.

Os benefícios da retenção de logs incluem facilitar a análise forense de ataques descobertos muito tempo depois de o sistema ter sido comprometido. Muitos padrões e regulamentos exigem a retenção de logs de auditoria para conformidade, e a preservação dos dados de log ajuda a garantir a integridade dos dados.

Os logs registram todas as alterações nos registros para que você possa descobrir modificações não autorizadas realizadas por uma fonte externa ou devido a erros no desenvolvimento interno ou na administração do sistema.

Salvaguarda 8.11: Realize revisões dos registros de auditoria

Realize revisões dos registros de auditoria para detectar anomalias ou eventos anormais que possam indicar uma ameaça em potencial. Realize revisões semanais ou com maior frequência.

Revise os registros para detectar eventos anormais que possam sinalizar uma ameaça. Use-os para combinar endpoints com o inventário e configurar novos endpoints se necessário. Além disso, revise os registros de auditoria para garantir que o sistema gere os registros apropriados.

Realize revisões semanais ou com maior frequência.

Proteja 8.12 Collect service provider logs

Coletar logs de provedores de serviço, onde suportado. Implementações de exemplo incluem a coleta de eventos de autenticação e autorização, eventos de criação e descarte de dados, e eventos de gerenciamento de usuários.

Embora o seu provedor de serviços possa garantir segurança, você deseja verificar a integridade dos registros que recebe e assegurar que o fornecedor esteja em conformidade com as regulamentações. Além disso, em caso de incidente, você precisa dos dados para análise forense.

O fornecedor deve coletar eventos de autenticação e autorização, eventos de criação e descarte de dados, e eventos de gerenciamento de usuários.

À medida que a computação em nuvem cresce, os atacantes estão cada vez mais visando serviços. Um hacker poderia falsificar uma URL e redirecionar o usuário para um site de provedor falso ou causar outros danos. Se um provedor de serviço sofrer um problema de segurança, pode não notificar seus clientes prontamente. Além disso, você pode descobrir que o provedor de serviço não tem o nível de segurança que você espera ou exige.

Resumo

O Controle 8 contém salvaguardas atualizadas para a gestão de logs de auditoria, uma função crítica necessária para estabelecer e manter logs de auditoria, incluindo coleta, armazenamento, sincronização de tempo, retenção e revisão.

Cada salvaguarda aborda um aspecto da gestão de logs de auditoria para ajudá-lo a manter a conformidade com os padrões e fornecer-lhe informações em caso de auditorias ou ataques.

FAQ

O que significa registro de auditoria?

Um registro de auditoria é um método de retenção de dados sobre eventos no nível do usuário. Ele contém informações específicas para ajudar a identificar o ator e as ações realizadas.

Qual é a função de um registro de auditoria?

O registro pode ser usado para análise forense em caso de ataque e para determinar a integridade dos dados do registro. Ele também fornece prova de conformidade com os padrões.

O que deve ser incluído em um registro de auditoria?

Um registro de auditoria deve incluir o seguinte:

  • Grupo
  • Ator
  • Tipo de ação
  • Nome e descrição do evento
  • Timestamp
  • Local de origem

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Dirk Schrader

VP de Pesquisa de Segurança

Dirk Schrader é um Resident CISO (EMEA) e VP de Pesquisa de Segurança na Netwrix. Com 25 anos de experiência em segurança de TI e certificações como CISSP (ISC²) e CISM (ISACA), ele trabalha para promover a ciberresiliência como uma abordagem moderna para enfrentar ameaças cibernéticas. Dirk trabalhou em projetos de cibersegurança ao redor do mundo, começando em funções técnicas e de suporte no início de sua carreira e, em seguida, passando para posições de vendas, marketing e gestão de produtos em grandes corporações multinacionais e pequenas startups. Ele publicou numerosos artigos sobre a necessidade de abordar a gestão de mudanças e vulnerabilidades para alcançar a ciberresiliência.

Saiba mais sobre este assunto

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Análise de Risco Quantitativa: Expectativa de Perda Anual

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança