Legjobb gyakorlatok az eseménynaplózáshoz és a fenyegetések észleléséhez
A LOTL-technikákat – például LOTL binárisokat (LOLBins) és fájl nélküli rosszindulatú szoftvereket – alkalmazó kiberszereplők egyre gyakoribbá válása rávilágít a hatékony eseménynaplózási megoldás bevezetésének és fenntartásának fontosságára. Amint azt egy korábbi közösen kiadványban szerepelt (Identifying and Mitigating Living Off the Land Techniques), a fejlett tartós fenyegetések (APT-k) LOTL-technikákat alkalmaznak a felderítés elkerülése érdekében. Az ausztrál Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC) és nemzetközi partnerei kiadványának célja, hogy részletezze az eseménynaplózásra és a fenyegetések észlelésére vonatkozó legjobb gyakorlati útmutatást a felhőszolgáltatások, a vállalati hálózatok, a vállalati mobilitás és az operatív technológiai (OT) hálózatok esetében. A kiadványban szereplő útmutatás az eseménynaplózásra és a fenyegetések észlelésére vonatkozó általános legjobb gyakorlatokra összpontosít; a LOTL-technikák azonban azért szerepelnek a kiadványban, mert a felderítésük nagyfokú nehézsége miatt remek esettanulmányt nyújtanak.
Az eseménynaplózás és a fenyegetések észlelésének legjobb gyakorlatát követve négy kulcsfontosságú tényezőt kell figyelembe venni:
- Szervezeti szinten jóváhagyott naplózási szabályzatot.
- Naplógyűjtés központosítása és korreláció.
- A naplók integritásának fenntartása, többek között biztonságos naplótárolás révén.
- A releváns fenyegetésekre vonatkozó észlelési stratégia kidolgozása.
