24 февраля, среда 23:23
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Сбор логов и отчеты

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сбор логов и отчеты

    Добрый день, коллеги!
    Я новичок на форуме, поэтому прошу прощения заранее, если задам наивные вопросы, нарушу правила или не буду знать что это уже 10000000 раз обсуждалось.
    Итак, суть моего вопроса.
    У нас в Банке используется система сбора логов GFI.
    Кокретно я использую утилиту GFI ReportCenter, просмотр логов на ежедневной основе.
    Сейчас руководство поставило задачу подготовить формализованный периодический отчет.
    Но вот вопрос, система собирает несколько миллионов событий в день. Поэтому я не могу сориентироваться, подскажите:
    1. Каие события включить в отчет? так чтобы это было рационально и аудиторы не придирались.
    2. какую периодичность отчетов установить?
    3.В какой форме отчитываться по этим отчетам) Типа "зафиксировано за месц 20 миллионов failed logons"?
    Спасибо, если подскажите верное направление....

  • #2
    Начните с главного - с анализа рисков. После него вы поймете, какие ресурсы у вас важные, а какие угрозы актуальные. Число событий сразу сократится. Но начал бы я вообще с понимания - зачем вам log collection? Как часть полноценного log management или просто так надо? Для реальной безопасности и расследования инцидентов или для аудиторов.

    Комментарий


    • #3
      Проблема в том, что анализ рисков у нас действительно не проведен. В то же время, и в аудиторском отчете и в требованиях регулятора стоит необходимость использования log collection. А удиторы еще и потребовали предоставлять регулярный отчет руководству (которому, конечно же, не до этого).
      Что касается реальной безопасности, то, конечно, логи потребуются для расследования инцидентов. Но для этого пока нет необходимости готовить отчет.
      У меня же вопрос больше по формальной части - отчет!!

      Комментарий


      • #4
        Формально? И руководству не нужно? Берите из миллиона событий первую тысячу и все. И аудиторов удовлетворите и руководство увидит результат. На реальную безопасность это все равно не влияет. Так зачем делать лишнюю работу?

        Комментарий


        • #5
          Спасибо за ответ и идею!!!
          Я, честно говоря, в самом начале тоже хотел так сделать. Но потом подумал, вдруг аудиторы компетентные появятся. и заглянут в отчет.
          Для реальной безопаснотии мы архивируем все логи (для расследования инцидентов).
          И вот еще что, логи собираются по событиям, по серверам, но не бизнес системам. Т.е. к примеру, сегодня было 1500 (на самом деле полсчтитать нельзя, в отчете сплошной список) failed logons на сервер ФФ. А на нем куча бизнесс-апликаций.
          И еще 3000 failed logons на рабочие станции.
          Ну как по всему этому давать отчет?!!!

          Комментарий


          • #6
            Просто ;-) Проведите анализ рисков. Оцените активы. Оцените риски. Приоритезируйте. Потом все станет понятно - что фиксировать, а что нет.

            Комментарий


            • #7
              Спасибо за совет! Вы предлагаете профессиональный и цивилизованный подход.
              Сразу же встречный вопрос. Подскажите, а может быть здесь где-то уже есть "рыбы" для проведения анализа рисков и создания плана управления ими?

              Комментарий


              • #8
                Посмотрите ссылки:
                http://technet.microsoft.com/ru-ru/l.../cc875806.aspx
                http://technet.microsoft.com/ru-ru/l.../cc163143.aspx

                Комментарий


                • #9
                  Спасибо за ссылки, полезно.
                  Может у кого то все таки есть "рыба" того, как должне выглядеть финальный документ?

                  Комментарий

                  Обработка...
                  X