У нас есть сотни рабочих станций, десятки серверов, отправляющих журналы на сервер syslog
или сервер Windows Event Collector, независимо от того, поступают ли они с компьютеров Linux или Windows. На данном этапе, целостность и конфиденциальность журналов контролируются правилами доступа и отправляются на серверы журналов через https
и TCP
. Аутентификация журналов отправки активов не выполняется, но инвентаризация активов проводится в соответствии со строгой политикой того, что у нас есть внутри информационной системы.
Поскольку у нас есть PKI
, я хотел бы использовать его для защиты журналов от следующий уровень. Обеспечение безопасности при транспортировке - это нормально, но мне неудобно защищать хранилище журналов перед архивированием, поскольку файлы журналов растут. Это означало бы:
Lock the log file before a new entry is added
Check integrity by comparing the crypto signature
Add the entry
Compute the new signature
Unlock the file
Я могу подписывать файлы журнала при архивировании, но как насчет текущих файлов журнала (приведенный выше псевдокод выглядит сложным для реализации, если его уже не покрывает какой-либо инструмент)?
Аутентификация журналов отправки активов не выполняется, но инвентаризация активов проводится в соответствии со строгой политикой того, что у нас есть внутри информационной системы.
Поскольку у нас есть PKI
, я хотел бы использовать его для защиты журналов от следующий уровень. Обеспечение безопасности при транспортировке - это нормально, но мне неудобно защищать хранилище журналов перед архивированием, поскольку файлы журналов растут. Это означало бы:
Lock the log file before a new entry is added
Check integrity by comparing the crypto signature
Add the entry
Compute the new signature
Unlock the file
Я могу подписывать файлы журнала при архивировании, но как насчет текущих файлов журнала (приведенный выше псевдокод выглядит сложным для реализации, если какой-либо инструмент уже не покрывает его)?
Аутентификация журналов отправки активов не выполняется, но инвентаризация активов проводится в соответствии со строгой политикой того, что у нас есть внутри информационной системы.
Поскольку у нас есть PKI
, я хотел бы использовать его для защиты журналов от следующий уровень. Обеспечение безопасности при транспортировке - это нормально, но мне неудобно защищать хранилище журналов перед архивированием, поскольку файлы журналов растут. Это означало бы:
Lock the log file before a new entry is added
Check integrity by comparing the crypto signature
Add the entry
Compute the new signature
Unlock the file
Я могу подписывать файлы журнала при архивировании, но как насчет текущих файлов журнала (приведенный выше псевдокод выглядит сложным для реализации, если какой-либо инструмент уже не покрывает его)?
• Не стесняйтесь защищать хранилище журналов перед архивированием, поскольку файлы журналов растут. Это означало бы:
Lock the log file before a new entry is added
Check integrity by comparing the crypto signature
Add the entry
Compute the new signature
Unlock the file
Я могу подписывать файлы журнала при архивировании, но как насчет текущих файлов журнала (приведенный выше псевдокод выглядит сложным для реализации, если его уже не покрывает какой-либо инструмент)?
• Не стесняйтесь защищать хранилище журналов перед архивированием, поскольку файлы журналов растут. Это означало бы:
Lock the log file before a new entry is added
Check integrity by comparing the crypto signature
Add the entry
Compute the new signature
Unlock the file
Я могу подписывать файлы журнала при архивировании, но как насчет текущих файлов журнала (приведенный выше псевдокод выглядит сложным для реализации, если какой-либо инструмент уже не покрывает его)?
Я расширяю вопрос до следующего: каковы наилучшие методы защиты целостности журналов и обеспечения их подлинности?
На по крайней мере, для системных журналов Linux, используя rsyslogd, можно защитить передачу журнала с помощью TLS.
https://www.rsyslog.com/doc/v8-stable/tutorials/tls_cert_summary.html
Также fluentd, filebeat , logstash и все другие основные поставщики журналов поддерживают передачу с шифрованием TLS.
Я предполагаю, что аналогичный метод доступен для журналов событий Windows.