Skip to main content

V1.7.2 Errors, Logging and Auditing Architecture

Requirement:#

Verify that logs are securely transmitted to a preferably remote system for analysis, detection, alerting, and escalation. (C9)

Explanation:#

ΠŸΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ Π΄ΠΎΠ»ΠΆΠ½ΠΎ Ρ€Π΅Π³ΠΈΡΡ‚Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Ρ‚ΠΎΡ‡Π½ΠΎΠ΅ врСмя возникновСния (Π΄Π°Ρ‚Π°, час, сСкунды, миллисСкунды ΠΈ часовой пояс) для ΠΊΠ°ΠΆΠ΄ΠΎΠ³ΠΎ ΠΈΡΠΊΠ»ΡŽΡ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ³ΠΎ события ΠΈ события бСзопасности. ΠŸΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ Π½Π΅ Π΄ΠΎΠ»ΠΆΠ½ΠΎ Ρ€Π΅Π³ΠΈΡΡ‚Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΏΡ€ΠΈ рСгистрации ΠΈΡΠΊΠ»ΡŽΡ‡ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… событий. ΠŸΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ Π½Π΅ Π΄ΠΎΠ»ΠΆΠ½ΠΎ Ρ€Π΅Π³ΠΈΡΡ‚Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π½Π΅Π½ΡƒΠΆΠ½ΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΏΡ€ΠΈ рСгистрации ΠΈΡΠΊΠ»ΡŽΡ‡ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… событий. ΠŸΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ Π΄ΠΎΠ»ΠΆΠ½ΠΎ Ρ€Π΅Π³ΠΈΡΡ‚Ρ€ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ severity для ΠΊΠ°ΠΆΠ΄ΠΎΠ³ΠΎ ΠΈΡΠΊΠ»ΡŽΡ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ³ΠΎ события ΠΈ события бСзопасности. ΠžΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΡ Π΄ΠΎΠ»ΠΆΠ½Π° Ρ…Ρ€Π°Π½ΠΈΡ‚ΡŒ ΠΆΡƒΡ€Π½Π°Π»Ρ‹, ΠΏΠΎ ΠΊΡ€Π°ΠΉΠ½Π΅ΠΉ ΠΌΠ΅Ρ€Π΅, с ΠΌΠΎΠΌΠ΅Π½Ρ‚Π° возникновСния события Π² систСмС Π΄ΠΎ Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ, прСдусмотрСнного трСбованиями для ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½ΠΎΠΉ систСмы. Π£ΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ ΠΆΡƒΡ€Π½Π°Π»ΠΎΠΌ Π΄ΠΎΠ»ΠΆΠ½ΠΎ ΠΎΡΡƒΡ‰Π΅ΡΡ‚Π²Π»ΡΡ‚ΡŒΡΡ ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ систСмой ΠΈΠ»ΠΈ внСшнСй систСмой, ΠΎΡ‚Π΄Π΅Π»Π΅Π½Π½ΠΎΠΉ ΠΎΡ‚ прилоТСния.

Remediation:#

Example

# Template for SIEM syslog message
$template RFC3164fmt,"<%PRI%>%TIMESTAMP% %HOSTNAME%-os %syslogtag%%msg%"
# Send local0.debug to SIEM
local0.debug @@<Siem_HOSTNAME>:514;RFC3164fmt

Π”Π΅Ρ‚Π°Π»ΡŒΠ½ΠΎΠ΅ описаниС настроСк ΠΈΠ·Π»ΠΎΠΆΠ΅Π½ΠΎ Π² ΡΡ‚Π°Ρ‚ΡŒΡΡ…:

[SIEM] Auditd for Linux servers

For Debian / Ubuntu audit baseline

For RHEL / CentOS audit baseline

Additional:#

https://www.ibm.com/docs/en/dsm?topic=overview-leef-event-components https://nxlog.co/documentation/nxlog-user-guide/syslog.html#syslog_ietf

Edit this page