记录和保护监控

　　使用日志记录和监控来识别威胁并保护智能手机、平板电脑、笔记本电脑和台式电脑，安全监控是识别和检测 IT 系统威胁的核心。在检测安全事件并从安全事件中恢复时，它充当我们眼睛和耳朵，使我们能够确保根据组织策略使用设备。

　　有效的监控依赖于适当、可靠的日志记录和设备管理实践。本文旨在为系统和网络管理员提供有关现代平台上可用的日志记录和监控选项的建议。

　　为什么要使用日志记录和保护性监控？

　　许多大型事件已经显示出针对单个主机，从攻击者将试图进一步加强通过获得的横向移动技术，如证书被盗，账户模拟，使用正版的网络工具或已知漏洞的网络协议过时的版本，以传播和破坏额外的设备以访问额外的数据和服务。

　　其中一些更传统的技术可能不适用于纯云或零信任网络架构。然而，在决定是否允许访问组织服务和数据时，监控设备活动、健康和配置可以说变得更加重要。

　　日志记录和监控将帮助组织识别网络上的活动模式，从而提供入侵指标。在发生事故时，记录数据可以帮助更有效地确定危害的来源和程度。

　　为日志记录和监控做准备

　　可以从设备收集多种类型的事件和信号。设备监控应成为贵组织更广泛的日志记录和监控方法的一部分。很多时候，成功的入侵检测需要多个信息源。

　　一般而言，监控数据可能来自事件驱动的日志，例如网站连接或设备配置详细信息，例如设备上运行的当前操作系统版本。

　　作为第一步，应该设法了解需要并能够收集的数据类型和来源。为了帮助完成此过程，我们对下表中可能提供的数据源进行了广泛分类。

　　类别描述

　　基于主机的日志

　　基于主机的日志记录可以提供丰富的数据源。通常，这将包括与文件系统、正在运行的进程和程序加载事件等相关的事件。基于主机的日志记录还可以提供额外的事件源，例如网站连接和设备或服务登录。

　　一些设备操作系统将支持一组丰富的内置系统日志，这些日志可以转发到集中存储，而另一些将提供非常有限的日志集。

　　根据设备平台，可以安装额外的基于主机的代理来收集日志数据，超出内置功能。但是，这带来了需要在设备上安装额外软件的开销。它还需要对基于主机的代理进行额外的管理要求。在某些情况下，安装的代理甚至可能会带来额外的威胁风险。

　　服务日志身份、邮件和文档存储等服务以及数据库等后端服务通常会生成可收集和审查的事件或审计日志。这些类型的日志，包括对身份验证尝试和配置数据更改的监控，可以提供额外的日志源，可以帮助检测设备的入侵指标。

　　基础设施日志根据组织网络架构，防火墙、网络代理和入侵保护或检测系统等设备都可以提供基于网络的设备事件监控，例如网站连接和 DNS 请求。这有助于识别可能通过单击网络钓鱼链接或下载恶意文件等方式连接到恶意站点的设备。更高级的功能还可以包括签名或基于启发式的检测技术。

　　设备合规性

　　设备管理的一个重要功能是监控设备状态和配置。此数据可用于根据组织策略评估设备合规性。例如，设备操作系统是否是最新的？

　　因为有许多设备和一系列移动设备管理系统，所以对此类合规性数据的支持程度差别很大，可以根据这些数据采取的行动也是如此。在选择在组织中使用哪些设备以及选择移动设备管理服务时，应该考虑这一点。

　　设备认证

　　远程设备证明旨在报告一组设备及其上运行的软件的可信信号和测量结果。应以这样的方式保护和报告这些测量结果，即使设备受到损害，也可以依赖这些测量结果。更强的证明形式通常将硬件支持的密钥存储和信任根与基于公钥的加密操作相结合，用于存储和报告设备状态的可信测量。

　　对远程设备认证的支持因设备和移动设备管理服务而异。在选择要使用的设备以及选择移动设备管理服务时，应该考虑这一点。

　　应该仔细考虑对这些数据源的访问和使用。连同组织正在使用的设备的日志记录和远程管理功能，将决定检测和响应安全事件或策略违规的能力。

　　如何监控和记录

　　制定战略

　　10 个网络安全步骤将帮助我们实施安全监控策略，首先基于业务需求以及对业务服务和资产的风险评估。

　　实施日志记录策略

　　在介绍日志提供了一个四步计划，以帮助我们制定和实施适当的记录能力。

　　看什么

　　对于设备，应该包括对设备状态和合规性的监控。还应该记录设备事件，包括用户活动、网络通信、身份验证和访问设备和服务。

　　收集和分析

　　应该收集和分析日志数据。这将使能够检测和响应安全事件。在可能的情况下，应该自动化检测和修复。

　　发展你的计划

　　事件管理计划和政策应该包括从安全事件中学习的能力。这些课程可能会建议改进监控设置的方法。例如，特定类型的数据可能已丢失，或者日志存储持续时间可能太短。

　　优先

　　在实践中，可能无法实现完美的解决方案。这可能是由于成本限制，或者设备不支持完美的监控和管理功能集。无论这些限制的来源是什么，如果要发现潜在的危害或安全风险，应该优先考虑需要回答的问题。

　　移动设备管理系统和设备本身的限制将告诉哪些解决方案实际上是可以实现的。

　　建立 SOC

　　如果组织拥有可用资源，一种解决方案是建立安全运营中心 （SOC），将帮助组织总体上管理和监控组织的安全风险。

　　记录变得容易

　　对于某些组织，尤其是较小的组织，建立 SOC 或实施全面的专业监控解决方案可能不可行。但是，至少应该有一个有效的日志记录系统。Logging Made Easy （LME）是一个 英国NCSC 开源项目，提供基本的端到端 Windows 日志记录功能，以及一组用于查看和分析结果数据的工具。

　　LME证明，只要投入适度的时间和精力，就可以构建基本的企业日志记录功能。

　　技术说明

　　数据源因平台而异

　　有效的监控解决方案需要考虑平台之间可用数据的差异。为了帮助解决这个问题，在下面列出了一些最重要的差异。

　　通常，设备上的日志记录、设备合规性报告和证明功能应与来自网络层设备（如内部防火墙、网络代理、VPN 网关和服务日志）的监控数据相结合。这种多维视图将提供最有效的整体监控能力。

　　操作系统数据源

　　安卓

　　对于企业拥有的设备，设置为设备所有者模式，具有单个用户或关联用户，Android 支持远程日志记录和错误报告收集。与安全相关的事件（例如 Android 调试桥 （ADB） 活动、解锁和锁定尝试以及应用程序启动）会被记录下来并可远程检索。

　　可以远程请求Android错误报告，但这需要用户在共享之前进行交互批准。可用于远程查看的详细信息取决于MDM提供商。

　　根据MDM提供商的不同，还可以使用网络活动日志记录。网络活动日志记录设备发出的 DNS 请求和 TCP 连接，这些日志可以转发到远程服务器进行处理和分析。

　　有限制，可以绕过网络活动日志记录，如果设备包含不属于您的组织的用户配置文件，则不会收集日志。

　　MDM解决方案可用于从设备检索某些信息，这些信息可用作设备合规性策略的一部分。这些数据包括：

　　安卓版本信息

　　植根设备

　　密码设置

　　设备数据加密

　　受限应用

　　MDM可能能够通过Key Attestation验证引导加载程序状态。

　　MDM可以使用Android Safety Net API作为设备合规性策略的一部分，以验证设备的完整性。如果设备未通过合规性策略，这可用作采取适当行动的信号，例如阻止对公司资源的进一步访问。

　　IOS

　　iOS 不支持远程或本地历史事件收集。

　　MDM解决方案可用于从设备检索一些信息，包括设备状态信息，可用于验证对组织策略的合规性。这些数据允许检测以下内容：

　　iOS版本信息

　　已安装的应用程序

　　越狱检测

　　密码设置

　　受限应用

　　苹果系统

　　macOS 日志可以由设备上的本地管理员查看，也可以使用第三方远程管理工具 （RAT） 从远处查看。也可以使用第三方软件来自动收集日志。

　　MDM解决方案可用于从设备检索某些信息，包括可用作设备合规性策略一部分的设备状态信息。这些数据包括：

　　macOS 版本信息

　　密码设置

　　设备数据加密

　　防火墙设置

　　允许的应用程序安装来源

　　Chrome操作系统

　　可以使用MDM从设备远程检索有关用户和设备状态的有限信息。

　　Linux

　　Syslog可以在 Linux 设备上用于生成和存储系统和应用程序日志，然后可以将这些日志转发到远程日志服务器存储。

　　Rsyslog也可用于许多 Linux 发行版，并且可以提供更丰富、更灵活的日志记录功能集。

　　对于管理员感兴趣的特定事件，还可以使用auditd执行额外的审计。

　　Windows 10

　　可以使用Windows 事件收集和转发来执行系统事件收集。这些事件可以转发到中央存储。可以使用组策略配置转发。

　　安装后，Sysmon可用于监视系统活动，并将数据发送到 Windows 事件日志。Windows事件收集可用于将日志转发到集中存储。该NCSC的记录一点通（LME）是一个开源项目，提供使用机构的端至端的日志解决方案SYSMON收集基于主机的日志。

　　Windows 日志分析是Azure Monitor 的一项功能。这允许将在设备上捕获的事件日志转发到组织的 Azure 日志分析工作区。这包括Windows 事件日志。此功能需要在设备上安装额外的日志分析代理，也称为 Microsoft 管理代理。

　　MDM解决方案可用于从设备检索某些信息，包括可用作设备合规性策略一部分的设备状态信息。这些数据包括：

　　操作系统版本

　　安全启动和 BitLocker 状态

　　防病毒设置

　　密码设置

　　设备数据加密

　　防火墙设置

　　Windows Defender ATP是一个功能齐全的威胁防护和安全监控平台，可用于预防、检测、调查和响应威胁。它与 Windows 10 的内置平台安全功能（例如漏洞利用保护、攻击面减少规则和系统防护）结合使用，以减少Windows 10 设备的攻击面。它包括威胁和漏洞管理、端点检测和响应以及自动调查和修复等功能。它还包括Microsoft 安全分数 组织可以用来分析和改进设备安全的安全状况。

　　Windows Defender ATP还与 Microsoft Intune 集成以管理对设备的威胁，包括设备合规性策略和条件访问，例如，如果在设备上发现高风险威胁，则能够限制对组织服务和数据的访问。

　　Windows 设备健康证明可以收集和报告测量的启动数据，受可信平台模块 （TPM） 保护。此数据传输到 Microsoft 健康证明服务以验证系统启动完整性，包括硬件和操作系统启动组件、内核完整性、防病毒和早期启动驱动程序。它返回存储在设备上的加密健康证书。这与 Microsoft Intune 集成，因此可以请求运行状况证书并将其用于验证特定设备运行状况数据点，作为设备合规性策略的一部分。因此，它也可以应用于条件访问策略。