美國國家安全局 (NSA) 發布了跨云服務、企業網絡、移動設備和運營技術 (OT) 網絡的事件日志和威脅檢測最佳實踐，以確保重要系統的持續交付。

該網絡安全信息表 (CSI) 是與澳大利亞信號局的澳大利亞網絡安全中心 (ASD ACSC) 等國際合著者合作發布的。

該指南旨在支持企業中的 IT 和網絡員工防御使用離地生存 (LOTL) 技術的威脅行為者。

它還在考慮資源限制的同時，為提高組織在當前網絡威脅環境中的恢復能力提供了建議。

事件記錄和威脅檢測的四個最佳實踐

高效的事件日志系統應該能夠識別網絡安全事件，例如基本軟件配置的更改，在發生這些事件時提供警報，關注帳戶合規性，并保證日志和日志記錄平臺的性能和可用性。

在追求日志記錄的最佳實踐時，請牢記以下四個因素：

• 企業批準的事件記錄策略
• 集中事件日志訪問和關聯
• 安全存儲和事件日志完整性
• 相關威脅檢測策略

1.企業日志記錄政策：網絡安全的戰略舉措

創建和執行企業批準的日志記錄策略可增強組織識別系統上欺詐活動的能力，并確保所有環境都使用相同的日志記錄技術。日志記錄政策應該考慮組織與其服務提供商之間的任何共享職責。 

此外，該政策應指定要記錄哪些事件、如何監控事件日志、保留多長時間以及何時重新評估應保留哪些日志。

制定和實施企業認可的日志記錄策略對于檢測惡意行為和確保整個組織環境的一致性至關重要。有效日志記錄策略的關鍵組成部分包括：

• 事件日志質量：專注于捕獲高質量的網絡安全事件，而不僅僅是格式良好的日志。高質量的日志可幫助網絡防御者準確識別和應對事件。
• 詳細的捕獲事件日志：日志應包括時間戳、事件類型、設備標識符、IP 地址、用戶 ID 和執行的命令等基本詳細信息。這些信息對于有效的威脅檢測和事件響應至關重要。
• 運營技術 (OT) 注意事項：對于 OT 環境，請考慮設備有限的日志記錄功能，并使用傳感器或帶外通信來補充日志，而不會導致設備過載。
• 內容和時間戳一致性：在所有系統中使用結構化日志格式（如 JSON）和一致的時間戳（最好是帶有 ISO 8601 格式的 UTC）來改善日志相關性和分析。
• 事件日志保留：考慮到某些威脅可能在檢測到之前潛伏數月，請確保日志保留足夠長的時間以支持事件調查。保留期限應符合監管要求和組織的風險評估。

這些實踐增強了組織有效檢測、調查和應對網絡安全事件的能力。

2.集中事件日志訪問和關聯

集中式日志收集和關聯為企業網絡、OT、云計算和使用移動計算設備的企業移動性提供日志源的優先列表。 

優先級排序過程包括評估攻擊者瞄準已記錄資產的可能性以及資產泄露的潛在后果。 

美國國家安全局建議各組織建立集中式事件日志設施，例如安全數據湖，以實現日志聚合。 

要實施有效的企業日志記錄政策：

• 明確職責：明確組織和服務提供商之間的日志記錄角色。
• 優先處理日志：重點關注企業、OT、云和移動環境中的關鍵系統、網絡設備和高風險區域。
• 確保日志質量：捕獲時間戳、IP 地址和用戶 ID 等關鍵詳細信息。使用 JSON 等一致格式。
• 集中監控：集中收集日志，數據分為“熱”（快速訪問）和“冷”（長期存儲）。
• 保留和存儲：根據風險和合規性需求設置保留期。確保有足夠的存儲空間以防止數據丟失。
• 時間戳同步：在所有系統中使用一致、可靠的時間源（最好是 UTC）。
• OT 注意事項：使用替代日志記錄方法解決 OT 設備的限制。
• 定期審查：定期重新評估日志相關性并根據需要更新政策。

這種方法加強了威脅檢測、事件響應和合規性。

從那里，選定的、處理過的日志應該被轉發到分析工具，如安全信息和事件管理(SIEM) 解決方案和擴展檢測和響應 (XDR) 解決方案。 

3.安全存儲和事件日志完整性

• 集中式日志記錄：實施安全的數據湖來匯總日志，防止因本地存儲有限而造成損失。將關鍵日志轉發到 SIEM/XDR 進行分析。
• 安全傳輸和存儲：使用 TLS 1.3 和加密方法保護傳輸中和靜止的日志。限制對敏感日志的訪問。
• 預防未經授權的訪問：保護日志不被惡意行為者修改/刪除。只有授權人員才可以訪問，并設置審計日志。
• 強化 SIEM：將 SIEM 與一般 IT 環境隔離，過濾日志以優先處理重要日志，并最大限度地降低成本。
• 基線和威脅檢測：使用集中日志檢測偏離正常行為的情況，指示潛在的網絡安全事件或事故。
• 及時日志提取：確保快速收集日志，以便盡早發現安全事件。

4.相關威脅檢測策略

為了檢測“離地謀生”（LOTL）技術，組織應實施用戶和實體行為分析（UEBA），并利用 SIEM 系統通過將事件日志與已建立的正常活動基線進行比較來識別異常。主要建議和策略包括：

(1) 行為分析：使用 UEBA 自動檢測網絡、設備或賬戶上的異常行為，這對于識別與正常操作相融合的 LOTL 技術至關重要。

(2) 案例研究 - Volt Typhoon：該組織使用了 LOTL 技術，例如 PowerShell 腳本、Windows 管理規范控制臺 (WMIC) 和其他本機工具在系統內進行滲透和橫向移動，使傳統的檢測變得十分困難。

(3) 異常行為指標：

• 不尋常的登錄時間或地點。
• 訪問帳戶通常不使用的服務。
• 大量的訪問嘗試或數據下載。
• 使用不常見或可疑的進程和路徑。
• 意外的帳戶活動，例如重新啟用已禁用的帳戶。
• 網絡異常，例如設備之間建立新的連接。

(4) 增強檢測：實施端點檢測和響應 (EDR) 解決方案，確保詳細日志記錄（包括進程創建和命令行審計），并為合法二進制使用建立基線。

(5) 主動威脅搜尋：定期進行威脅搜尋，以識別和調查潛在的 LOTL 活動，并根據不斷變化的威脅形勢完善檢測規則。

這些策略有助于檢測和緩解 LOTL 技術，由于這些技術依賴于網絡中的合法工具和活動，因此具有挑戰性。