日志的大量有價(jià)值的信息、可見性、額外警報(bào)、預(yù)測、取證和行為分析功能正式各類合規(guī)工作的要點(diǎn)，特別是取證和行為分析功能，更是監(jiān)管部門要求日志滿足合規(guī)的重要原因，不同的合規(guī)性和監(jiān)管框架要求，日志留存的時(shí)長不同。

日志留存是一個(gè)網(wǎng)絡(luò)安全領(lǐng)域世界通用的重要安全手段之一，為網(wǎng)絡(luò)安全攻擊和網(wǎng)絡(luò)安全事件的發(fā)現(xiàn)與溯源提供非常重要的原始數(shù)據(jù)。但是，在日志留存方面，很多的單位還沒有引起足夠的重視。

網(wǎng)絡(luò)安全日志的留存，在不同國家以及不同的行業(yè)，其要求是存在一定差別的，今天我們繼續(xù)探討日志留存的最佳實(shí)踐，期待與大家進(jìn)一步的交流。

安全日志是所有服務(wù)器活動(dòng)的數(shù)字記錄，為 IT 和安全團(tuán)隊(duì)提供了一個(gè)集中視圖來記錄和跟蹤用戶、更改等。安全日志對(duì)于公司維持網(wǎng)絡(luò)安全需求和滿足行業(yè)數(shù)據(jù)合規(guī)性法規(guī)至關(guān)重要。本文解釋了安全日志記錄的重要性，并概述了要遵循的八種安全日志保留最佳實(shí)踐。

為什么安全日志保留很重要？

維護(hù)可靠的安全日志不僅是良好的安全態(tài)勢，還能讓您和您的公司高枕無憂。遵循事件日志的安全日志保留最佳實(shí)踐可以更輕松地確認(rèn)您的安全日志記錄流程可以保護(hù)您的整體 IT 基礎(chǔ)設(shè)施。事件日志提供了有關(guān)系統(tǒng)和網(wǎng)絡(luò)活動(dòng)的重要見解。通過適當(dāng)?shù)目梢娦?，網(wǎng)絡(luò)安全團(tuán)隊(duì)可以跟蹤企業(yè)內(nèi)系統(tǒng)和網(wǎng)絡(luò)上的活動(dòng)，并標(biāo)記安全事件、任何異?；顒?dòng)或系統(tǒng)漏洞。此外，許多行業(yè)和安全合規(guī)性要求需要系統(tǒng)或網(wǎng)絡(luò)內(nèi)特定操作的詳細(xì)活動(dòng)日志。保存日志對(duì)于確保您的業(yè)務(wù)安全和合規(guī)性非常重要。

應(yīng)保留哪些安全日志？ 

所有數(shù)字操作都會(huì)創(chuàng)建事件日志。其中一些被保留是為了滿足合規(guī)性和/或安全需求，而另一些則被丟棄。每個(gè)行業(yè)的相關(guān)法規(guī)差異很大。安全所需的日志根據(jù)不同的業(yè)務(wù)需求而有所不同。對(duì)于大多數(shù)組織來說重要的日志類型包括用戶 ID 和憑據(jù)、終端身份、系統(tǒng)配置更改、訪問關(guān)鍵資產(chǎn)的日期和時(shí)間戳信息、成功和失敗的登錄嘗試以及未經(jīng)授權(quán)的訪問嘗試的活動(dòng)日志。 

安全日志應(yīng)保留多長時(shí)間？ 

這個(gè)問題有不止一個(gè)答案。最終，滿足有關(guān)時(shí)間表的安全日志保留最佳實(shí)踐取決于業(yè)務(wù)周期和組織必須遵守的法規(guī)。大多數(shù)公司將審核日志、IDS（入侵檢測系統(tǒng)）日志和防火墻日志保存至少兩個(gè)月。還有許多法律和法規(guī)規(guī)定企業(yè)必須保留事件日志的時(shí)間。

國際上一些例子是：

1. 巴塞爾II協(xié)議：該規(guī)定要求國際銀行將其活動(dòng)日志保存三到七年。
2. HIPAA：《健康保險(xiǎn)流通與責(zé)任法案》( HIPAA ) 要求醫(yī)療機(jī)構(gòu)將日志保存長達(dá)六年。
3. NERC：北美電力可靠性公司（NERC）適用于電力提供商，規(guī)定日志保留六個(gè)月，審計(jì)記錄保留三年。
4. SOX：《薩班斯-奧克斯利法案》( SOX ) 涉及在美國活躍的公司，并要求他們將審計(jì)日志保存七年。
5. CISP：持卡人信息安全計(jì)劃 ( CISP ) 適用于所有電子商務(wù)公司，要求他們將日志保留至少六個(gè)月。
6. NISPOM：國家工業(yè)安全計(jì)劃操作手冊(cè) ( NISPOM ) 要求日志保留至少一年。
7. 中國：網(wǎng)絡(luò)安全等級(jí)保護(hù)要求日志留存不少于六個(gè)月。

需要遵循的八個(gè)安全日志保留最佳實(shí)踐

以下是開發(fā)公司安全日志協(xié)議時(shí)需要記住的重要事項(xiàng)：

1：定義審核類別

確定安全事件是否值得在服務(wù)器和工作站的事件日志記錄中捕獲。 

2：監(jiān)控日志

擁有一個(gè)可以主動(dòng)監(jiān)控事件日志并可以識(shí)別問題并發(fā)出警報(bào)的工具。為此，可以使用安全監(jiān)控軟件，并密切關(guān)注安全日志，以確保不存在網(wǎng)絡(luò)安全漏洞，例如惡意軟件或黑客攻擊。閱讀有關(guān)如何防止網(wǎng)絡(luò)安全漏洞的提示，以獲取有關(guān)如何防止外部數(shù)據(jù)泄露的建議。

3：合并記錄

為了全面了解網(wǎng)絡(luò)趨勢，安全管理員將記錄合并到中央數(shù)據(jù)存儲(chǔ)中，以進(jìn)行完整的監(jiān)控、分析和報(bào)告?？紤]自動(dòng)化，參與這個(gè)過程的人越多，人為錯(cuò)誤的可能性就越大。自動(dòng)化日志是確保收集正確數(shù)據(jù)并且安全日志本身可靠的好方法。 

4：實(shí)踐冗余數(shù)據(jù)存儲(chǔ) 

將數(shù)據(jù)保存在多個(gè)地方有利于網(wǎng)絡(luò)安全，并且使用兩種格式可以創(chuàng)造審計(jì)優(yōu)勢。專家建議將日志數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫記錄中并作為壓縮的平面文件。事件日志管理 (ELM) 軟件是一個(gè)有用的存儲(chǔ)和報(bào)告工具。

5：監(jiān)控已知威脅

有效的安全日志監(jiān)控包括與已知威脅的數(shù)據(jù)庫進(jìn)行比較。安全日志記錄軟件通常包含此功能。強(qiáng)大的工具可能能夠通過早期行動(dòng)響應(yīng)威脅，包括發(fā)送警報(bào)、注銷用戶，甚至關(guān)閉和重新啟動(dòng)系統(tǒng)。 

6：追蹤用戶

大多數(shù)組織擁有的用戶數(shù)量太大，無法信任每個(gè)受密碼保護(hù)的用戶的動(dòng)機(jī)。此外，眾所周知，黑客可以獲得經(jīng)過驗(yàn)證的訪問權(quán)限。由于這些原因，使用與外部監(jiān)控分開的防御安全策略非常重要。使用關(guān)注用戶活動(dòng)的工具可以根據(jù)用戶活動(dòng)日志運(yùn)行報(bào)告，并特別關(guān)注具有特權(quán)訪問權(quán)限的帳戶，同時(shí)監(jiān)視異常使用情況。 

7：發(fā)展事件監(jiān)控 

在確定事件日志監(jiān)控計(jì)劃時(shí)，請(qǐng)記住每個(gè)組織對(duì)于監(jiān)控的內(nèi)容都有不同的規(guī)則。IT 或安全部門可能希望僅關(guān)注安全功能，但監(jiān)視其他事件和操作可以指示應(yīng)用程序或硬件的問題，或幫助查找惡意軟件。配置的事件數(shù)量、目標(biāo)系統(tǒng)和輪詢頻率將決定所使用的帶寬量。如果您還不確定需要配置什么系統(tǒng)，請(qǐng)從廣泛開始，然后減少，在最終確定要捕獲的內(nèi)容時(shí)減少元素。

8：可靠地報(bào)告

良好的數(shù)據(jù)讀出和報(bào)告對(duì)于滿足主要利益相關(guān)者、高級(jí)管理層、審計(jì)員以及安全或合規(guī)官員的需求至關(guān)重要?？煽康膱?bào)告將幫助您在需要時(shí)倡導(dǎo)更新安全策略，并提供證明企業(yè)符合合規(guī)性所需的證據(jù)。

安全事件報(bào)告應(yīng)保留多長時(shí)間？  

安全事件報(bào)告是使用安全漏洞或可疑安全事件后捕獲的數(shù)據(jù)創(chuàng)建的文檔。當(dāng)前的準(zhǔn)則要求組織將所有安全事件報(bào)告和日志保留至少六年。六年計(jì)數(shù)從安全事件報(bào)告中最后一個(gè)條目的日期開始。