对于你的业务来说什么是正确的?
“合理”这个词非常棘手,因为每个人对于什么应该被记录日志,以及以何种方式进行治理都有自己的定义。最终,合理的记录很可能会终结在法庭的定义中。虽然如此,你在这个时候能够做什么才能确保你是在安全的,并且不会被踢出局呢。第一件事情就是判定什么服务器和哪个数据库真的包含了那些需要被保护的敏感信息。这是你自己需要做的,或者是在最近的信息风险评估中已经作过的。记住,在开发或者测试中你需要有一些服务器存放敏感信息,因此,不需要任何级别的日志。
每个环境都是不同的,所有的业务都有不同程度的风险,但是至少考虑如下日志:
·SQL Server日志——默认情况下是激活的,通过企业治理器C2 审计模式可以访问——通过sp_configure存储过程(将c2审计模式设置为1)跟踪权限、访问数据库对象,以及更多内容。
·对失败的认证尝试记录日志——通过企业治理器/属性/安全标签
·IIS日志——通过IIS服务治理器
·一般的Windows审计日志——通过Windows本地策略或者GPO
当深入谈论审计日志和系统监控的时候,你自己要很努力,并且投资购买一个第三方的日志以及事件治理应用程序,例如GFI的 EventsManager,或者用于普通SQL Server日志审计的ApexSQL Log。访问LogAnalysis.org,了解其他一些商用产品。这些工具都会为你节省大量时间和努力。我也推荐使用NIST的Guide,用于计算机安全日志治理(Computer Security Log Management)。
评论加载中…
 |