V7.1.4 Log Content

Requirement:

Verify that each log event includes necessary information that would allow for a detailed investigation of the timeline when an event happens.

Explanation:

Для проверки соответствия этому требованию необходимо проанализировать приложение, чтобы убедиться, что каждое событие журнала содержит необходимую информацию. Эта информация должна включать, как минимум, дату и время, когда произошло событие, пользователя или организацию, инициировавшую событие, характер события и любые дополнительные детали, которые могут потребоваться для полного понимания события.

В дополнение к вышеуказанной информации каждое событие журнала должно содержать уникальный идентификатор, который может быть использован для связи события с другими связанными событиями. Это может быть особенно важно в случаях, когда несколько событий связаны с одним инцидентом, и может потребоваться проследить хронологию событий, чтобы полностью понять, что произошло.

Remediation:

Когда речь идет об информационной безопасности в ваших системах и приложениях, важно вести учет всех событий и действий, имеющих отношение к безопасности. Сюда входят такие события, как успешные и неудачные попытки входа в систему, изменения в разрешениях пользователей, доступ к данным и их модификация, а также любые другие события, которые потенциально могут указывать на проблемы или угрозы безопасности.

Следующая информация должна быть включена в журналы событий, имеющих отношение к безопасности:

• Timestamp: Она должна включать дату и время события в стандартном формате, например, ISO 8601, для удобства сортировки и анализа.
• User ID: Сюда следует включить имя пользователя, идентификатор пользователя или другой идентификатор, связанный с пользователем или организацией, инициировавшей событие.
• Event type: Здесь должен быть описан тип произошедшего события, например, успешная или неудачная попытка входа в систему, изменение прав пользователя или запрос на доступ к данным.
• Source IP и Destination IP: Здесь должны быть указаны IP-адреса исходного и конечного хоста.
• Event: Здесь следует указать, было ли событие успешным или неуспешным, а также предоставить любые дополнительные сведения о результате события.
• Description: Здесь должны быть приведены дополнительные сведения о событии, включая любые соответствующие данные или предпринятые действия.
• Severity: Здесь должна быть указана степень серьезности события на основе заранее определенной шкалы, чтобы помочь определить приоритетность инцидентов безопасности и ответных мер.

Ведение подробных журналов событий, имеющих отношение к безопасности, и включение в них вышеуказанной информации поможет вам обеспечить наличие необходимой информации для расследования инцидентов безопасности и выявления потенциальных угроз для ваших систем и приложений.

{

"datetime": "2021-01-01T01:01:01-0700",

"appid": "foobar.netportal_auth",

"userid": "joebob1",  

"event": "AUTHN_login_success:joebob1",

"level": "INFO",

"description": "User joebob1 login successfully",

"useragent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36",

"source_ip": "165.225.50.94",

"destination_ip": "10.12.7.9",

"hostname": "portalauth.foobar.com",

"protocol": "https",

"port": "443",

"request_uri": "/api/v2/auth/",

"request_method": "POST",

"region": "AWS-US-WEST-2",

"geo": "USA"

}

Additional:

https://owasp.org/www-project-proactive-controls/#div-numbering

SIEM

OWASP Logging

Подсказка в написании логов