Журнал безопасности, часто называемый также журналом аудита (audit log), журналом событий безопасности (security event log) или системным журналом (system log), является критически важным компонентом любой системы информационной безопасности. Он представляет собой хронологическую запись всех значимых событий, происходящих в информационной системе, которые имеют отношение к безопасности.
Цель журнала безопасности — предоставить доказательства и контекст для:
Мониторинга: Отслеживание активности пользователей и систем.
Выявления инцидентов: Обнаружение аномального поведения, которое может указывать на попытки взлома, несанкционированный доступ или вредоносную активность.
Расследования: Предоставление информации, необходимой для анализа причин и последствий инцидентов безопасности.
Соответствия требованиям: Демонстрация соблюдения регуляторных норм и стандартов безопасности (например, GDPR, HIPAA, PCI DSS).
Содержание журнала безопасности может варьироваться в зависимости от типа системы (операционная система, база данных, сетевое устройство, приложение), но обычно включает следующие основные категории информации:
1. События аутентификации и авторизации
Это одни из наиболее важных записей, так как они показывают, кто пытается получить доступ к системе и с каким результатом.
Успешные и неудачные попытки входа в систему (логин):
Кто: Имя пользователя или идентификатор учетной записи.
Откуда: IP-адрес источника, имя хоста.
Когда: Дата и время попытки.
Результат: Успешно или неудача (с указанием причины: неверный пароль, заблокированная учетная запись и т.д.).
Использование привилегированных учетных записей: Входы администраторов, root-пользователей.
Изменение прав доступа: Изменение разрешений для файлов, каталогов, ресурсов.
2. Действия с файлами и данными
Эти записи отслеживают доступ к конфиденциальным данным и их изменение.
Открытие, создание, удаление, изменение файлов или данных:
Кто: Пользователь, выполнивший действие.
Что: Имя файла, путь, тип данных.
Когда: Дата и время.
Результат: Успешно или неудача.
Доступ к конфиденциальным данным: Попытки чтения или изменения записей в базе данных, содержащих персональные данные, финансовую информацию и т.д.
3. Изменения конфигурации системы
Любые изменения, которые могут повлиять на безопасность или функциональность системы.
Изменение системных настроек: Например, изменение параметров сетевого экрана, настроек безопасности, политики паролей.
Установка/удаление программного обеспечения:
Изменение прав доступа пользователей/групп: Добавление новых пользователей, изменение ролей.
4. Сетевые события
Информация о сетевом трафике и взаимодействии с другими системами.
Подключения к системе:
Кто: Исходный IP-адрес.
Куда: Порт назначения.
Когда: Дата и время.
Протокол: TCP, UDP и т.д.
Попытки сканирования портов или атак: Записи о подозрительной сетевой активности.
Активность сетевого экрана (файервола): Блокировка или разрешение трафика.
5. События, связанные с приложениями
Логи, генерируемые самими приложениями, которые могут содержать специфичную для них информацию.
Ошибки приложений: Сбои, исключения, которые могут указывать на попытки эксплуатации уязвимостей.
Специфические действия пользователя в приложении: Например, в банковском Казахстанская база данных whatsapp приложении: перевод средств, изменение реквизитов. В CRM: доступ к клиентским данным.
6. События мониторинга производительности и работоспособности
Хотя напрямую не являются событиями безопасности, они могут косвенно указывать на проблемы.
Запуск/остановка служб или процессов:
Использование ресурсов: Высокая загрузка ЦПУ, памяти, диска (может указывать на DoS-атаку или вредоносное ПО).
События системы: Перезагрузки, отключения, ошибки оборудования.
7. Информация о самом журнале
Важно, чтобы журнал безопасности также записывал события, связанные с его собственным состоянием, чтобы предотвратить сокрытие следов.
Изменения в настройках журналирования:
Попытки очистки журнала:
Отсутствие записей за определенный период: Может указывать на отключение журналирования или атаку.
Формат и хранение
Журналы безопасности могут храниться в различных форматах (текстовые файлы, XML, JSON, бинарные файлы). Для эффективного анализа их часто агрегируют в централизованные системы управления информационной безопасностью и событиями (SIEM - Security Information and Event Management), которые позволяют собирать, коррелировать и анализировать данные из различных источников в реальном времени.