什么是审计日志?如何学习合规性审计日志?
2024-06-07 12:06:36
浏览量:0
审计日志可帮助你的组织实现合规性和安全性。那么,什么是审计日志?如何实现审计日志?如何利用审计日志实现合规性?
让我们先来回答这个问题:审计日志有什么作用?审计日志会跟踪有关谁访问了系统、他们查看了什么以及他们采取了哪些操作的信息。这些时间信息对于证明合规性和安全性非常重要。
01
什么是审计日志?
审计日志是对计算机系统中发生的事件的记录。日志保存和记录系统将成为审计线索,任何调查系统内操作的人都可以跟踪用户的操作、对给定文件的访问或其他活动,例如以 root 或管理员权限执行文件或对操作系统范围内的安全和访问设置的更改。
从最广泛的意义上讲,审计日志可以跟踪系统中发生的几乎任何变化。这使得它们在三个主要方面变得重要,甚至是必要的:
审计跟踪可对系统及其运行方式或出错位置进行取证。这包括跟踪系统配置中的错误或错误,或识别未经授权的数据访问发生的位置。它还可以帮助管理层审计具有敏感数据访问凭据的员工的绩效和活动。
审计日志还提供与违规相关的取证信息。审计线索可以显示安全控制措施如何到位并如何保护关键数据。它还可以提供有关黑客如何入侵特定系统或绕过控制措施以及他们访问了哪些数据的重要信息。
最后,审计日志可以帮助系统管理员日常调试问题。
审计线索的不变性是其可用性的重要组成部分。日志是数据,就像计算机上的任何其他文件一样,如果日志被损坏,它们就会变得毫无用处。
有关审计日志的最佳实践建议你将审计线索保留至少一年,如果法规要求,可以保留更长时间(例如,HIPAA 要求包含 ePHI 的系统至少保留 6 年的日志)。
02
审计日志与常规系统日志
审计日志用于记录与安全相关的用户活动和系统事件,以供调查之用。它们提供了安全关键事件和用户活动的详细记录,可用于识别和调查任何可疑行为。
定期生成系统日志以记录系统活动,如缺陷、故障和总体使用数据。定期生成系统日志可提供系统操作的更一般概述。
03
使用审计日志确保安全性和合规性
审计日志是确保安全性和合规性的重要工具,因为它们提供了组织 IT 系统内发生的活动的详细记录。此记录可用于识别可疑活动和潜在的合规性违规行为。
应定期监控审计日志,以检测任何可能表明存在安全或合规性违规的可疑活动。它们还应用于在潜在漏洞被利用之前向管理员发出警报。应定期检查日志,以确定可能表明未经授权的访问或可疑活动的活动趋势或模式。任何新的或不寻常的活动都应立即调查和处理。
审计日志可用于识别潜在的系统弱点,并确保用户遵守组织的安全政策。这有助于确保系统安全并符合适用的法律法规。
审计日志还可用于创建合规性审计报告。此类报告提供任何安全或合规性相关活动的详细记录,可用于证明组织遵守适用法律法规。
04
使用审计日志有哪些好处?
毋庸置疑,如果你所在的行业具有需要某种形式的数据记录的合规框架(例如HIPAA、GDPR或FedRAMP),那么日志不仅仅是有利的,而且对于运营而言也是必需的。
但是,审计日志可以通过多种不同的方式为组织中的系统管理员和 IT 经理提供支持:
证明合规性
如上所述,日志可帮助你向审计人员证明你符合给定框架的规定。这正是许多框架首先需要审计日志的原因。
创建证据链
作为安全或合规基础的一部分,许多安全框架都要求将日志记录作为一种证据形式。完整的证据链可以向调查人员显示安全漏洞的来源,或证明公司已实施他们声称的安全措施。
创建保管链
在法律情况下,文件的更改或处理方式可视为法庭证据。不可变的审计日志可为执法部门提供此类证据。
洞察和优化
从积极的一面来看,日志可以向管理层和专家展示系统在特定条件下的运行情况,从而帮助他们优化多个内部系统。日志可以反映执行任务所需的时间或可能影响系统稳定性或性能的任何冲突操作。
管理安全和风险
管理你的安全和风险状况需要信息;有关合作伙伴的信息、有关供应商的信息、有关云系统和产品的信息等等。
业务流程跟踪
审计线索可以向业务用户展示其数据是如何被使用或未被使用的。例如,当律师向对方律师发送法律文件,而对方律师后来声称他们没有收到该文件时,发件人可以使用审计线索来证明该文件确实已收到,包括下载该文件的具体时间、IP 地址和所用设备等详细信息。
根据你的软件设置和计算机网络(以及你的监管要求),审计日志可以通过提供以下一项或多项好处来提供帮助。
05
什么是审计跟踪?
简而言之,审计跟踪是一系列日志,记录系统中的一系列活动、操作或用户。这可以包括操作系统工作的时间信息,或一系列记录用户访问系统资源和数据的日志。
线索对于安全至关重要,因为大多数情况下,单个事件日志无法帮助你管理本文之前讨论的任何内容。相反,证据线索可以深入了解发生了什么以及如何解决问题。
例如,如果服务器崩溃并且数据丢失或损坏,那么事件发生之前和发生之前的审计跟踪可以帮助管理员拼凑出发生的事情。
同样,如果黑客入侵系统并窃取数据,IT 安全专家可以使用审计跟踪来追踪该个人的活动,以确定他们破坏了什么、损坏或窃取了什么以及他们是如何进入系统的。
06
审计日志的组成部分是什么?
话虽如此,日志并不是一个单一的实体。不同的日志可以根据其与其提供的证据的相关性而具有不同的组件。国际标准组织 (ISO) 出版物 27002为企业客户提供了日志应包含的典型事件和信息的指南。一般而言,遵循此指南的日志通常包含以下信息:
用户 ID(系统授权用户和访问系统的用户)
审计跟踪中每个事件的日期和时间
任何系统信息,包括设备位置、MAC 地址等。
任何登录系统的尝试,无论是合法的还是被拒绝的
更改用户权限、ID 号或系统配置设置
尝试访问相关(或所有)文件和文件夹
与任何系统访问相关的网络信息(IP 号码、访问的端口、连接的协议)
安全软件(防火墙、反恶意软件、入侵检测系统)发出的警报
用户通过系统软件进行的任何交易、数据共享或其他外部连接
任何对安全或个人身份信息 (PII)的访问
特定安全日志可能还包含有关此处未涵盖的特定系统或事件的信息,以提供额外的文档。
话虽如此,商业独立审计日志记录软件的例子并不多。许多操作系统或第三方应用程序(包括 SaaS 云服务)都具有内置日志记录功能,这些功能可能可定制,也可能不可定制。
然而,市场上有大量解决方案可以汇总日志,以提供有关安全性、性能、错误跟踪和员工警报的关键见解。这些系统称为安全信息和事件管理 ( SIEM ) 解决方案,包括 Splunk、IBM QRadar、LogRhythm、HPE ArcSight 等产品。
然而,通常系统中的审计工具应该能够使用上面列出的数据跟踪事件,并且它们应该能够根据平台或软件的活动、现有的合规性要求以及所管理的数据类型(取决于行业或业务)生成安全且合规的数据日志。
07
审计日志应保存多长时间?
审计日志的保留因组织和行业而异。内部政策、行业法规、法律要求以及记录的数据类型等变量都是决定组织应保留其审计日志多长时间的变量。
例如,在医疗保健行业,HIPAA 要求保留包含受保护健康信息 ( PHI ) 的审计日志至少六年。同样,在金融行业,SEC 规则 17a-4 要求保留审计日志至少六年。
但是,出于法律、合规性或安全原因,一些组织可能选择保留审计日志更长时间。审计日志至少应保留一年。
08
如何保护我的服务器上的审计日志?
如果审计日志没有得到保护,它们将不会对你有所帮助。损坏或更改的日志会破坏审计线索,并使你为保护系统而收集的信息变得不那么有效。
审计日志只是文件,就像计算机上的任何其他文件一样,这既不幸又幸运。不幸的是,这意味着它们可能像其他文件一样被盗、更改或损坏。幸运的是,这也意味着你可以使用常见的安全控制措施来保护它们,包括:
01
加密
加密审计日志文件可以帮助你防止这些数据落入入侵系统的黑客之手。虽然这些文件仍然可能被损坏,但这确实意味着它们更难被读取或操纵
02
防止未经授权的访问
计算机系统中的文件由访问权限系统控制,该系统允许或禁止用户读取、写入或执行文件。通过设置具有特定授权要求的审计日志,你可以阻止未经授权的用户对它们进行任何操作。
03
控制管理员的访问权限
管理员可能会更改有关他们自己及其活动的审计日志,从而难以追踪他们的所作所为。你可以设置有关特定用户或管理员的日志,以禁止这些用户阅读或更改。
04
考试所需软件
检测日志更改、删除或关闭:攻击者通常在入侵系统后立即关闭和删除日志以掩盖其踪迹。当有人试图更改或销毁日志时,系统应立即向工作人员发出警报。
05
将日志导出到外部系统
除了将日志导出到集中式 SIEM 的分析优势外,它还可以确保如果日志因错误或攻击者而删除,则存在另一个副本。设置 SIEM,如果系统因故障或受到攻击而停止发送日志,则向工作人员发出警报。
05
归档和日志记录
将日志发送到外部归档服务,以便根据法规要求的年限保存它们,不受自然灾害、盗窃或原始系统或数据中心损坏的影响。
09
Kiteworks 数据日志平台
当你利用平台进行安全文件共享和存储、安全电子邮件或安全表格和数据收集等活动时,数据记录是极其必要的。Kitworks 平台基于三个关键原则为这些服务提供安全、完整的日志记录功能:
合规性
如果你的企业需要安全的 MFT、SFTP 或电子邮件来开展任何业务,我们可以提供该服务以及必要的日志记录功能,以确保你保持合规性。
我们与医疗保健、政府、金融等领域的组织合作,并支持他们遵守HIPAA、FedRAMP、PCI DSS和GDPR等框架
安全性
我们的安全系统包含所有必要的日志记录,可作为你可能遇到的任何问题的取证工具,以及作为预防工具,帮助你在风险管理定位内轻松利用 Kiteworks 平台。
可访问性
我们的产品专注于你组织成员的数据可访问性,其中包括让合适的人员访问数据日志。当需要执行审计(针对安全漏洞或年度合规性要求)时,我们的工具可为你提供所需的数据访问。
SIEM 集成
Kiteworks Enterprise 平台通过标准审计日志持续将日志导出到你组织的 SIEM,包括与 IBM QRadar、ArcSight、FireEye Helix、LogRhythm 等的集成。它还支持 Splunk Forwarder 并包含 Splunk App。
干净、完整且可用的日志数据
我们的工程师会测试并改进每个产品版本中日志条目的质量、完整性和可用性。他们使用综合的CISO 仪表板和报告显示作为测试平台,以确保客户能够访问监控活动、检测威胁和执行取证所需的指标和参数。
统一、标准化的日志
来自应用程序和系统组件的事件流全部汇集到单个日志中,其中包含标准化消息,使分析师和机器学习能够检测和分析跨多个通信渠道(例如电子邮件、MFT、文件共享和SFTP )的模式,以及对策略、权限和配置的管理更改,以及操作系统活动、登录、存储库访问以及DLP、防病毒、ATP 和 CDR 产品的扫描。
智能、分析和通知
人工智能技术可检测可疑事件(例如可能的泄露),并通过电子邮件和审计日志发送警报。
广泛的管理报告
管理界面利用日志作为人性化可读的仪表板,以及自定义和标准报告。
最终用户审计跟踪
该平台提供用户友好的跟踪显示,以便最终用户可以确定收件人是否通过安全共享文件夹、安全电子邮件或 SFTP 访问、编辑或上传内容。
