遵循安全日志留存的八个最佳实践

日志的大量有价值的信息、可见性、额外警报、预测、取证和行为分析功能正式各类合规工作的要点，特别是取证和行为分析功能，更是监管部门要求日志满足合规的重要原因，不同的合规性和监管框架要求，日志留存的时长不同。

日志留存是一个网络安全领域世界通用的重要安全手段之一，为网络安全攻击和网络安全事件的发现与溯源提供非常重要的原始数据。但是，在日志留存方面，很多的单位还没有引起足够的重视。

网络安全日志的留存，在不同国家以及不同的行业，其要求是存在一定差别的，今天我们继续探讨日志留存的最佳实践，期待与大家进一步的交流。

安全日志是所有服务器活动的数字记录，为 IT 和安全团队提供了一个集中视图来记录和跟踪用户、更改等。安全日志对于公司维持网络安全需求和满足行业数据合规性法规至关重要。本文解释了安全日志记录的重要性，并概述了要遵循的八种安全日志保留最佳实践。

为什么安全日志保留很重要？

维护可靠的安全日志不仅是良好的安全态势，还能让您和您的公司高枕无忧。遵循事件日志的安全日志保留最佳实践可以更轻松地确认您的安全日志记录流程可以保护您的整体 IT 基础设施。事件日志提供了有关系统和网络活动的重要见解。通过适当的可见性，网络安全团队可以跟踪企业内系统和网络上的活动，并标记安全事件、任何异常活动或系统漏洞。此外，许多行业和安全合规性要求需要系统或网络内特定操作的详细活动日志。保存日志对于确保您的业务安全和合规性非常重要。

应保留哪些安全日志？ 

所有数字操作都会创建事件日志。其中一些被保留是为了满足合规性和/或安全需求，而另一些则被丢弃。每个行业的相关法规差异很大。安全所需的日志根据不同的业务需求而有所不同。对于大多数组织来说重要的日志类型包括用户 ID 和凭据、终端身份、系统配置更改、访问关键资产的日期和时间戳信息、成功和失败的登录尝试以及未经授权的访问尝试的活动日志。 

安全日志应保留多长时间？ 

这个问题有不止一个答案。最终，满足有关时间表的安全日志保留最佳实践取决于业务周期和组织必须遵守的法规。大多数公司将审核日志、IDS（入侵检测系统）日志和防火墙日志保存至少两个月。还有许多法律和法规规定企业必须保留事件日志的时间。

国际上一些例子是：

1. 巴塞尔II协议：该规定要求国际银行将其活动日志保存三到七年。
2. HIPAA：《健康保险流通与责任法案》( HIPAA ) 要求医疗机构将日志保存长达六年。
3. NERC：北美电力可靠性公司（NERC）适用于电力提供商，规定日志保留六个月，审计记录保留三年。
4. SOX：《萨班斯-奥克斯利法案》( SOX ) 涉及在美国活跃的公司，并要求他们将审计日志保存七年。
5. CISP：持卡人信息安全计划 ( CISP ) 适用于所有电子商务公司，要求他们将日志保留至少六个月。
6. NISPOM：国家工业安全计划操作手册 ( NISPOM ) 要求日志保留至少一年。
7. 中国：网络安全等级保护要求日志留存不少于六个月。

需要遵循的八个安全日志保留最佳实践

以下是开发公司安全日志协议时需要记住的重要事项：

1：定义审核类别

确定安全事件是否值得在服务器和工作站的事件日志记录中捕获。 

2：监控日志

拥有一个可以主动监控事件日志并可以识别问题并发出警报的工具。为此，可以使用安全监控软件，并密切关注安全日志，以确保不存在网络安全漏洞，例如恶意软件或黑客攻击。阅读有关如何防止网络安全漏洞的提示，以获取有关如何防止外部数据泄露的建议。

3：合并记录

为了全面了解网络趋势，安全管理员将记录合并到中央数据存储中，以进行完整的监控、分析和报告。考虑自动化，参与这个过程的人越多，人为错误的可能性就越大。自动化日志是确保收集正确数据并且安全日志本身可靠的好方法。 

4：实践冗余数据存储 

将数据保存在多个地方有利于网络安全，并且使用两种格式可以创造审计优势。专家建议将日志数据存储在数据库记录中并作为压缩的平面文件。事件日志管理 (ELM) 软件是一个有用的存储和报告工具。

5：监控已知威胁

有效的安全日志监控包括与已知威胁的数据库进行比较。安全日志记录软件通常包含此功能。强大的工具可能能够通过早期行动响应威胁，包括发送警报、注销用户，甚至关闭和重新启动系统。 

6：追踪用户

大多数组织拥有的用户数量太大，无法信任每个受密码保护的用户的动机。此外，众所周知，黑客可以获得经过验证的访问权限。由于这些原因，使用与外部监控分开的防御安全策略非常重要。使用关注用户活动的工具可以根据用户活动日志运行报告，并特别关注具有特权访问权限的帐户，同时监视异常使用情况。 

7：发展事件监控 

在确定事件日志监控计划时，请记住每个组织对于监控的内容都有不同的规则。IT 或安全部门可能希望仅关注安全功能，但监视其他事件和操作可以指示应用程序或硬件的问题，或帮助查找恶意软件。配置的事件数量、目标系统和轮询频率将决定所使用的带宽量。如果您还不确定需要配置什么系统，请从广泛开始，然后减少，在最终确定要捕获的内容时减少元素。

8：可靠地报告

良好的数据读出和报告对于满足主要利益相关者、高级管理层、审计员以及安全或合规官员的需求至关重要。可靠的报告将帮助您在需要时倡导更新安全策略，并提供证明企业符合合规性所需的证据。

安全事件报告应保留多长时间？  

安全事件报告是使用安全漏洞或可疑安全事件后捕获的数据创建的文档。当前的准则要求组织将所有安全事件报告和日志保留至少六年。六年计数从安全事件报告中最后一个条目的日期开始。