Введение
Общей темой, выявленной центром кибербезопасности (ACSC) при проведении расследований, является то, что организации не имеют достаточной информации о деятельности, происходящей на их рабочих станциях и серверах. Хорошая видимость того, что происходит в среде организации, имеет важное значение для проведения эффективного расследования. Это также помогает усилиям по реагированию на инциденты, предоставляя критическую информацию о событиях, связанных с инцидентами кибербезопасности, и снижает общие затраты на реагирование на них.Этот документ был разработан как руководство по установке и настройке регистрации и пересылки событий Windows. Этот совет был разработан для поддержки как обнаружения, так и расследования вредоносной активности, обеспечивая идеальный баланс между сбором важных событий и управлением объемами данных. Этот совет также разработан для дополнения существующих систем обнаружения и предотвращения вторжений на основе хоста.
Этот документ предназначен для специалистов по информационным технологиям и информационной безопасности. Он охватывает типы событий, которые могут быть созданы, и оценку их относительной ценности, централизованный сбор журналов событий, хранение журналов событий и рекомендуемые параметры групповой политики вместе с примечаниями по реализации.
Этот документ не содержит подробной информации об анализе журналов событий.
К этому документу прилагается репозиторий регистрации событий Windows ACSC [1]. Репозиторий содержит файлы конфигурации и сценарии для реализации рекомендаций в этом документе. Все файлы и папки, упомянутые в этом документе, доступны в этом репозитории.
Соображения
Рекомендации этого документа требуют использования Microsoft Windows Server 2008 R2 и Microsoft Windows 7 SP1 или более новых версий. Некоторые параметры групповой политики, используемые в этом документе, могут быть недоступны или несовместимы с выпусками Windows Professional, Home или S.Чтобы обеспечить точную корреляцию событий, необходимо использовать точные и согласованные отметки времени. Организациям рекомендуется убедиться, что все устройства в их среде (например, хосты Windows и сетевое оборудование) настроены на использование точного источника времени.
Как подробно описано в Стратегиях смягчения инцидентов кибербезопасности, рекомендуемый срок хранения журнала событий составляет не менее 18 месяцев; однако некоторые организации могут иметь нормативное требование хранить журналы событий в течение более длительного периода.
Чтобы облегчить управление рекомендациями в этом документе, обсуждаемые параметры групповой политики должны быть помещены в отдельный объект групповой политики (GPO) с областью действия, установленной для всех хостов Windows в домене.
Все изменения, внесенные в системы, должны быть полностью протестированы, чтобы гарантировать отсутствие нежелательных побочных эффектов для обычных бизнес-процессов организации. При тестировании следует сосредоточить внимание на объеме создаваемых журналов и любом влиянии на производительность сети, особенно в тех случаях, когда информация может передаваться через соединения с низкой пропускной способностью.
Рекомендуемые параметры групповой политики в этом документе используют расширенные политики аудита, которые могут переопределять существующие устаревшие политики аудита [3]. Следует позаботиться о том, чтобы существующие устаревшие политики аудита были перенесены на расширенные политики аудита.
Sysmon (системный монитор) [4], инструмент, опубликованный Microsoft, обеспечивает большую видимость системной активности на хосте Windows, чем стандартное ведение журнала Windows. Организациям рекомендуется использовать этот инструмент в среде Windows.
Хранение журнала событий
В настройках Windows по умолчанию задан относительно небольшой размер журнала, и события будут перезаписываться по мере достижения журналом максимального размера. Это создает риск, поскольку важные события могут быть быстро перезаписаны. Чтобы снизить этот риск, размер журнала безопасности необходимо увеличить по сравнению с размером по умолчанию 20 МБ. Также следует увеличить размеры журналов приложений и системного журнала, но обычно они не содержат столько данных и, следовательно, не должны быть такими же большими, как журнал безопасности. Размеры журналов по умолчанию приемлемы в средах, где локальное хранилище ограничено (например, среды виртуальной инфраструктуры), при условии, что журналы пересылаются.Параметры групповой политики, представленные в таблице ниже, увеличивают максимальный размер журнала безопасности до 2 ГБ, а максимальный размер журнала приложений и системы - до 64 МБ. Это обеспечит баланс между использованием данных, сохранением локального журнала и производительностью при анализе локальных журналов событий. Обратите внимание, что эти изменения повысят требования к хранению данных для каждого хоста Windows в сети.
Настройка групповой политики | Вариант рекомендации |
Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Служба журнала событий \ Приложение |