日志的大量有價值的信息、可見性、額外警報、預測、取證和行為分析功能正式各類合規(guī)工作的要點，特別是取證和行為分析功能，更是監(jiān)管部門要求日志滿足合規(guī)的重要原因，不同的合規(guī)性和監(jiān)管框架要求，日志留存的時長不同。

日志留存是一個網絡安全領域世界通用的重要安全手段之一，為網絡安全攻擊和網絡安全事件的發(fā)現(xiàn)與溯源提供非常重要的原始數(shù)據(jù)。但是，在日志留存方面，很多的單位還沒有引起足夠的重視。

網絡安全日志的留存，在不同國家以及不同的行業(yè)，其要求是存在一定差別的，今天我們繼續(xù)探討日志留存的最佳實踐，期待與大家進一步的交流。

安全日志是所有服務器活動的數(shù)字記錄，為 IT 和安全團隊提供了一個集中視圖來記錄和跟蹤用戶、更改等。安全日志對于公司維持網絡安全需求和滿足行業(yè)數(shù)據(jù)合規(guī)性法規(guī)至關重要。本文解釋了安全日志記錄的重要性，并概述了要遵循的八種安全日志保留最佳實踐。

為什么安全日志保留很重要？

維護可靠的安全日志不僅是良好的安全態(tài)勢，還能讓您和您的公司高枕無憂。遵循事件日志的安全日志保留最佳實踐可以更輕松地確認您的安全日志記錄流程可以保護您的整體 IT 基礎設施。事件日志提供了有關系統(tǒng)和網絡活動的重要見解。通過適當?shù)目梢娦裕W絡安全團隊可以跟蹤企業(yè)內系統(tǒng)和網絡上的活動，并標記安全事件、任何異?；顒踊蛳到y(tǒng)漏洞。此外，許多行業(yè)和安全合規(guī)性要求需要系統(tǒng)或網絡內特定操作的詳細活動日志。保存日志對于確保您的業(yè)務安全和合規(guī)性非常重要。

應保留哪些安全日志？ 

所有數(shù)字操作都會創(chuàng)建事件日志。其中一些被保留是為了滿足合規(guī)性和/或安全需求，而另一些則被丟棄。每個行業(yè)的相關法規(guī)差異很大。安全所需的日志根據(jù)不同的業(yè)務需求而有所不同。對于大多數(shù)組織來說重要的日志類型包括用戶 ID 和憑據(jù)、終端身份、系統(tǒng)配置更改、訪問關鍵資產的日期和時間戳信息、成功和失敗的登錄嘗試以及未經授權的訪問嘗試的活動日志。 

安全日志應保留多長時間？ 

這個問題有不止一個答案。最終，滿足有關時間表的安全日志保留最佳實踐取決于業(yè)務周期和組織必須遵守的法規(guī)。大多數(shù)公司將審核日志、IDS（入侵檢測系統(tǒng)）日志和防火墻日志保存至少兩個月。還有許多法律和法規(guī)規(guī)定企業(yè)必須保留事件日志的時間。

國際上一些例子是：

1. 巴塞爾II協(xié)議：該規(guī)定要求國際銀行將其活動日志保存三到七年。
2. HIPAA：《健康保險流通與責任法案》( HIPAA ) 要求醫(yī)療機構將日志保存長達六年。
3. NERC：北美電力可靠性公司（NERC）適用于電力提供商，規(guī)定日志保留六個月，審計記錄保留三年。
4. SOX：《薩班斯-奧克斯利法案》( SOX ) 涉及在美國活躍的公司，并要求他們將審計日志保存七年。
5. CISP：持卡人信息安全計劃 ( CISP ) 適用于所有電子商務公司，要求他們將日志保留至少六個月。
6. NISPOM：國家工業(yè)安全計劃操作手冊 ( NISPOM ) 要求日志保留至少一年。
7. 中國：網絡安全等級保護要求日志留存不少于六個月。

需要遵循的八個安全日志保留最佳實踐

以下是開發(fā)公司安全日志協(xié)議時需要記住的重要事項：

1：定義審核類別

確定安全事件是否值得在服務器和工作站的事件日志記錄中捕獲。 

2：監(jiān)控日志

擁有一個可以主動監(jiān)控事件日志并可以識別問題并發(fā)出警報的工具。為此，可以使用安全監(jiān)控軟件，并密切關注安全日志，以確保不存在網絡安全漏洞，例如惡意軟件或黑客攻擊。閱讀有關如何防止網絡安全漏洞的提示，以獲取有關如何防止外部數(shù)據(jù)泄露的建議。

3：合并記錄

為了全面了解網絡趨勢，安全管理員將記錄合并到中央數(shù)據(jù)存儲中，以進行完整的監(jiān)控、分析和報告?？紤]自動化，參與這個過程的人越多，人為錯誤的可能性就越大。自動化日志是確保收集正確數(shù)據(jù)并且安全日志本身可靠的好方法。 

4：實踐冗余數(shù)據(jù)存儲 

將數(shù)據(jù)保存在多個地方有利于網絡安全，并且使用兩種格式可以創(chuàng)造審計優(yōu)勢。專家建議將日志數(shù)據(jù)存儲在數(shù)據(jù)庫記錄中并作為壓縮的平面文件。事件日志管理 (ELM) 軟件是一個有用的存儲和報告工具。

5：監(jiān)控已知威脅

有效的安全日志監(jiān)控包括與已知威脅的數(shù)據(jù)庫進行比較。安全日志記錄軟件通常包含此功能。強大的工具可能能夠通過早期行動響應威脅，包括發(fā)送警報、注銷用戶，甚至關閉和重新啟動系統(tǒng)。 

6：追蹤用戶

大多數(shù)組織擁有的用戶數(shù)量太大，無法信任每個受密碼保護的用戶的動機。此外，眾所周知，黑客可以獲得經過驗證的訪問權限。由于這些原因，使用與外部監(jiān)控分開的防御安全策略非常重要。使用關注用戶活動的工具可以根據(jù)用戶活動日志運行報告，并特別關注具有特權訪問權限的帳戶，同時監(jiān)視異常使用情況。 

7：發(fā)展事件監(jiān)控 

在確定事件日志監(jiān)控計劃時，請記住每個組織對于監(jiān)控的內容都有不同的規(guī)則。IT 或安全部門可能希望僅關注安全功能，但監(jiān)視其他事件和操作可以指示應用程序或硬件的問題，或幫助查找惡意軟件。配置的事件數(shù)量、目標系統(tǒng)和輪詢頻率將決定所使用的帶寬量。如果您還不確定需要配置什么系統(tǒng)，請從廣泛開始，然后減少，在最終確定要捕獲的內容時減少元素。

8：可靠地報告

良好的數(shù)據(jù)讀出和報告對于滿足主要利益相關者、高級管理層、審計員以及安全或合規(guī)官員的需求至關重要?？煽康膱蟾鎸椭谛枰獣r倡導更新安全策略，并提供證明企業(yè)符合合規(guī)性所需的證據(jù)。

安全事件報告應保留多長時間？  

安全事件報告是使用安全漏洞或可疑安全事件后捕獲的數(shù)據(jù)創(chuàng)建的文檔。當前的準則要求組織將所有安全事件報告和日志保留至少六年。六年計數(shù)從安全事件報告中最后一個條目的日期開始。