审计及问责标准
Overview
这个更新的标准是为了帮助信息技术办公室(OIT)围绕访问控制的现有实践与NIST 800-171 (AU | 3)中的要求保持一致.3.X)以及行业最佳实践. 这个文件没有完全覆盖3.3.由于现有的限制和特定于CUI的其他需求,171中的x控件.
本文件内容:
- 需要的日志类型
- 时间要求
- 日志保留要求
- 学生和客人网络安全豁免
本文件中不包含的内容:
- 批准的日志位置(待定知识库)
- 必须发布日志的所有内容的综合列表
- 日志必须如何运输
- 日志收集工具的实现
- 操作系统日志配置(挂起基线配置)
实施本标准的潜在影响或行动项目:
- Splunk访问需要每年进行审查
- 一些非oit系统可能需要记录Splunk.
- 日志管理员和系统所有者需要配置和响应章节C-3和C-2中定义的警报
政策参考
Purpose
本审计和问责制标准支持 APM 30.11高校数据分类与标准,以及其他有关的大学政策.
本标准提供了检测的日志要求, 非法验证和调查, unauthorized, 可疑或不寻常的活动.
Scope
这些标准是所有访问的托管系统的最低基线, 存储或处理365滚球官网的数据(见 APM 30.14 C-6)在低、中、高风险水平(见 APM 30.11)不包括在经批准的系统保安计划内.
这特别适用于365滚球官网管理的技术资源,定义为 APM 30.12 C-1.
Standards
- 访问、认证和授权.
记录哪些身份在何时访问了哪些系统的日志. 这些资源包括但不限于:
- Web应用程序访问
- Azure AD和AD基础架构
- System access
- O365文件访问
- MFA基础设施
- 网络访问
需要记录的风险级别:低* /中/高
*不需要在低风险系统上进行本地认证的中央日志记录.
- Network logs. 从网络活动生成的日志. 这些资源包括但不限于:
- Firewalls
- NetfLow基础设施
- VPN的基础设施
- 无线和有线基础设施
- DHCP的基础设施
- ARP tables
需要记录的风险级别:低* /中/高
*不需要在低风险系统上进行本地认证的中央日志记录.
- Email logs. 从电子邮件活动生成的日志. 这些资源包括但不限于:
- 电子邮件路由设备
- 使用集中管理的邮件中继的工具和应用程序除外.
- 电子邮件安全设备
需要记录的风险级别:低/中/高
- 电子邮件路由设备
- 安全事件. 由OIT管理的安全工具生成的日志. 这些资源包括但不限于:
- AV/EDR
- IPS/IDS
- 网络安全监控(仅限中/高)
- pDNS (Passive DNS)日志(仅限中高)
需要记录的风险级别:低/中/高
- 特权、身份和凭证管理. 通过更改身份和凭证生成的日志. 这些资源包括但不限于:
- 活动目录
- 组合管理
- 证书的签发和撤销
需要记录的风险级别:低* /中/高
*不需要在低风险系统上进行本地认证的中央日志记录.
- 应用程序日志. 应用程序作为其功能的一部分生成的日志. 这些例子包括但不限于:
- Change logs
- 执行日志. (高风险)
- 调试日志(不需要中央日志记录)
需要日志记录的风险级别:中等/高
- 操作系统日志. 操作系统作为其功能的一部分而产生的日志. 只需要服务器操作系统的日志.
需要日志记录的风险级别:中等/高
- 操作系统日志. 操作系统作为其功能的一部分而产生的日志. 只需要服务器操作系统的日志.
需要日志记录的风险级别:中等/高
- OIT安全指定的其他日志类型
- 为了确保托管技术设备维护正确的日志记录时间,它们必须使用时间.uidaho.或者一个被认可的来源作为他们的时间来源.
- Time.uidaho.Edu是一对时间服务器.
- Time.uidaho.Edu利用以下工具作为权威时间服务器.
- clock.xmission.com
- sue.cc.uregina.ca
- india.colorado.edu
- clock.sjc.he.net
适用于:低/中/高
- 如果可能的话,时间格式应该是ISO 8601 (YYYY-MM-DDThh:mm:ss).mmm+
).
确保OIT安全部门可以通过以下标准处理适当的日志:
- 必须将所需的日志发送到经批准的中央日志服务器以进行关联, 评审和报告生成.
- 必须为以下场景建立警报,以确保日志记录成功(3).3.1[c,d,f], 3.3.4[b]):
适用于:低/中/高
- 在预期的时间段内没有日志卷或日志量很低.
- 日志解析错误(3.3.2[b])
- 日志存储容量已达到限制.
- 日志功能错误产生的警报必须发送给系统所有者和/或中央日志服务器管理员,以定位和解决问题. (3.3.4[a,c])
- 日志源所有者应定期检查日志记录系统,以确保日志记录符合规定的标准.
适用于:低/中/高(至少每年一次)
- 所有日志应包含(3).3.1[b]):
- 根据日志源时间调整过的utc时间戳. (3.3.7[a])
- 中央日志服务器处理日志的时间戳,经过utc调整.
- 日志源的IP地址/名称.
- 生成源的应用程序/服务名称(如果可用).
- 由应用程序提供或从上下文收集的任何相关标识信息.
- 示例包括但不限于:用户名, IP addresses, device names, certificates, user-agents, x-forwarded为, 转换后的IP地址, SPF results, 地理定位数据.
- 高风险数据和特权功能的使用必须能够与代表用户的单个用户或进程相关联. (3.1.7[d])
- 执行操作.
- 示例包括但不限于:修改密码, 身份验证的尝试, HTTP POST, 电子邮件收到了.
- 行动结果及原因(如有)
- 例子包括但不限于:成功, 密码错误导致失败, 由于权限问题导致的失败, HTTP 404.
- 安全信息(如果有)
- 示例包括但不限于:检测到的签名、安全动作、扫描结果.
- 例如:端口号、电子邮件主题、角色分配、会话状态.
- 根据系统所有者或OIT的要求,可能对调查有帮助的任何其他项目.
其他参考资料
1. NIST sp800 - 171 r2 (2020年2月)
2. NIST SP800-53r5 (2020年9月)
3. ISO 8601
4. 认可的中央测井系统
Definitions
1. Identity
识别唯一实体的方法. I.E. 用户名、主机名、IP地址、UUID等.
2. UTC调整时间戳
在协调世界时中记录的某个时间点的日志字段. I.E. 太平洋时间下午12:00为19:00 (UTC-8).
3. Log source
产生日志的系统.
4. 相关识别信息
可用于跨相关操作和会话唯一跟踪实体的信息. 这既包括直接标识符,如用户名和IP地址,也包括间接标识符,如UA字符串和地理位置.
5. 中央日志服务器
其他系统和应用程序转发日志的中心系统,如oit管理的Splunk, Syslog, 哨兵或AKIPS.
6. 执行日志
与应用程序中命令和功能的执行有关的日志. 示例包括但不限于API执行、SQL执行或函数执行.
7. 网络安全监控(NSM)
对网络数据包进行被动分析,以便后期进行分析和调查.
标准的主人
OIT Security负责这些标准的内容和管理.
| VERSION | AUTHOR(S) | DATE | NOTES |
|---|---|---|---|
| V1 | N. Flynn, M. Parks | 6/23/2023 | |