Recomandări privind politica de audit

Implicit, recomandările Microsoft Windows și Basic sunt preluate din Microsoft Security Compliance Manager.

Următorii parametri de bază ai politicii de audit sunt recomandați pentru sistemul de securitate al computerelor despre care nu se știe că sunt active, un atac de succes determinat de adversari sau de programe rău intenționate.

Această secțiune conține tabele care prezintă parametrii de audit recomandați care se aplică următoarelor sisteme de operare:

Aceste tabele conțin în mod prestabilit Windows, recomandări de bază și recomandări mai fiabile pentru aceste sisteme de operare.

Legenda tabelului politicii de audit

Toate planurile de gestionare a jurnalului de evenimente ar trebui să urmărească stațiile de lucru și serverele. Este foarte comună monitorizarea numai a serverelor sau a controlorilor de domeniu. Din cauza atacului de multe ori inițial rău intenționat asupra stațiilor de lucru, monitorizarea stațiilor de lucru nu pierde cea mai bună sursă de informație.

Evenimentele ideale pentru a crea o alertă de securitate trebuie să conțină următoarele atribute:

Probabilitatea apariției este evidențiată de acțiuni neautorizate

un număr mic de fals pozitive;

Intrarea ar trebui să ducă la un răspuns al investigației și investigației

Două tipuri de evenimente trebuie evaluate și notificate:

Aceste evenimente, în care o dată indică acțiuni neautorizate

Acumularea numărului de evenimente este mai mare decât liniile de bază așteptate și acceptabile.

Un exemplu al primului eveniment este:

Dacă serverul A nu ar trebui să se conecteze niciodată la serverul B, se va avertiza când se conectează unul la celălalt.

Dacă angajații din locația fabricii A nu pot lucra noaptea, avertismente atunci când utilizatorul se conectează la miezul nopții.

Dacă nu aveți membri în grupul DA și cineva vă adaugă acolo, verificați-l imediat.

Exemplu al celui de-al doilea eveniment este:

Numărul incorect al erorilor de intrare poate indica atacuri cu atac de parolă. Pentru ca o întreprindere să furnizeze un număr neobișnuit de mare de intrări nereușite în sistem, este necesar să înțelegem nivelurile obișnuite de erori de intrare în mediul corporativ înainte de evenimentul de protecție împotriva malware-ului.

Pentru o listă completă a evenimentelor care ar trebui incluse la urmărirea mărcilor de dezvăluire, consultați Anexa m: Monitorizarea evenimentelor.

Următoarele sunt conturile, grupurile și atributele pe care trebuie să le monitorizați pentru a detecta încercările de a compromite instalarea AD DS.

Sisteme pentru dezactivarea sau eliminarea programelor de la viruși și malware (reluarea automată a protecției atunci când este dezactivată manual)

Administratorul contabilizează modificări neautorizate

Acțiunile efectuate cu conturi privilegiate (ștergerea automată a contului la finalizare sau timpul alocat activității suspecte a expirat)

Un grup de servere pentru clasificarea încărcărilor de lucru, care vă permite să identificați rapid serverele care trebuie să fie mai precise decât sunt vizionate și configurate cel mai bine

Schimbările de proprietate și apartenența la următoarele grupuri AD DS: Administratorii de întreprinderi (EA), Administratorii de domenii (DA), administratorii (BA) și administratorii schemelor (SA)

Conturi privilegiate dezactivate (de exemplu, administratorul de cont încorporat în Active Directory, precum și în sistemele membre) pentru a activa conturile

Gestionează conturile din jurnal toate operațiile de scriere pentru cont

Expert de configurare a securității încorporat pentru a configura setările de service, registry, audit și firewall pentru a reduce zona de contact. Expertul de implementare a migrării serverului, ca parte a strategiei de administrare a site-ului.

Toate evenimentele cu un cod de recomandare sunt însoțite de importanță, evaluarea fiind după cum urmează:

Mare: ID-urile de evenimente cu importanța ridicată a mesajelor junk trebuie să alerteze și să studieze întotdeauna și imediat.

Orientul Mijlociu: evaluarea importanței mediu ID-ul evenimentului poate indica activități rău intenționate, dar ar trebui să fie însoțită de o altă anomalie (de exemplu, număr neobișnuit într-o anumită perioadă de timp, evenimente neașteptate sau instanțe pe computer, care nu este în mod normal de așteptat evenimente.). Un eveniment de importanță medie poate, de asemenea, r, colectat ca indicator și în comparație cu timpul.

Minima: și ID-ul evenimentului cu evenimente de mică importanță nu atrag atenția sau declanșează alertele, dacă nu sunt legate de evenimente de importanță medie sau ridicată.

Aceste recomandări sunt destinate să ofere un ghid de bază pentru administratori. Toate recomandările trebuie verificate cu atenție înainte de implementare în mediul de producție.

Articole similare

• Recomandări metodice privind înregistrarea documentelor de atribuire la prezentare

• Recomandări metodice pentru desfășurarea turneelor ​​de șah în rândul copiilor preșcolari

• Observații informale și recomandări privind implementarea și protecția tezei, platforma de conținut

Trimiteți-le prietenilor: