审计及问责
Overview
这个更新的标准是为了帮助信息技术办公室(OIT)围绕访问控制的现有实践与NIST 800-171 (AU | 3)中的要求保持一致.3.X)以及行业最佳实践. 这个文件没有完全覆盖3.3.由于现有的限制和特定于CUI的其他需求,171中的x控件.
本文件内容:
- 需要的日志类型
- Time requirements
- 日志保留要求
- 学生和客人网络安全豁免
本文件中不包含的内容:
- 批准的日志位置(待定知识库)
- 必须发布日志的所有内容的综合列表
- 日志必须如何运输
- 日志收集工具的实现
- 操作系统日志配置(挂起基线配置)
Policy Reference
Purpose
本审计和问责制标准支持 APM 30.11高校数据分类与标准,以及其他有关的大学政策.
本标准提供了检测的日志要求, 非法验证和调查, unauthorized, 可疑或不寻常的活动.
Scope
这些标准是所有访问的托管系统的最低基线, 存储或处理365滚球官网的数据(见 APM 30.14 C-6)在低、中、高风险水平(见 APM 30.11)不包括在经批准的系统保安计划内.
这特别适用于365滚球官网管理的技术资源,定义为 APM 30.12 C-1.
Standards
- 访问、认证和授权.
记录哪些身份在何时访问了哪些系统的日志. 这些资源包括但不限于:
- Web应用程序访问
- Azure AD和AD基础架构
- System access
- O365 file access
- MFA infrastructure
- Network access
需要记录的风险级别:低* /中/高
*不需要在低风险系统上进行本地认证的中央日志记录.
- Network logs. 从网络活动生成的日志. 这些资源包括但不限于:
- Firewalls
- NetfLow基础设施
- VPN infrastructure
- 无线和有线基础设施
- DHCP的基础设施
- ARP tables
需要记录的风险级别:低* /中/高
*不需要在低风险系统上进行本地认证的中央日志记录.
- Email logs. 从电子邮件活动生成的日志. 这些资源包括但不限于:
- 电子邮件路由设备
- 使用集中管理的邮件中继的工具和应用程序除外.
- 电子邮件安全设备
需要记录的风险级别:低/中/高
- 电子邮件路由设备
- Security events. 由OIT管理的安全工具生成的日志. 这些资源包括但不限于:
- AV/EDR
- IPS/IDS
- 网络安全监控(仅限中/高)
- pDNS (Passive DNS)日志(仅限中高)
需要记录的风险级别:低/中/高
- 特权、身份和凭证管理. 通过更改身份和凭证生成的日志. 这些资源包括但不限于:
- Active directory
- Duo administration
- 证书的签发和撤销
需要记录的风险级别:低* /中/高
*不需要在低风险系统上进行本地认证的中央日志记录.
- Application logs. 应用程序作为其功能的一部分生成的日志. 这些例子包括但不限于:
- Change logs
- Execution logs. (High-risk only)
- 调试日志(不需要中央日志记录)
需要日志记录的风险级别:中等/高
- 操作系统日志. 操作系统作为其功能的一部分而产生的日志. 只需要服务器操作系统的日志.
需要日志记录的风险级别:中等/高
- 操作系统日志. 操作系统作为其功能的一部分而产生的日志. 只需要服务器操作系统的日志.
需要日志记录的风险级别:中等/高
- OIT安全指定的其他日志类型
- 为了确保托管技术设备维护正确的日志记录时间,它们必须使用时间.uidaho.或者一个被认可的来源作为他们的时间来源.
- Time.uidaho.Edu是一对时间服务器.
- Time.uidaho.Edu利用以下工具作为权威时间服务器.
- clock.xmission.com
- sue.cc.uregina.ca
- india.colorado.edu
- clock.sjc.he.net
适用于:低/中/高
- 批准时间源,包括授权时间源时间.uidaho.以及直接或间接地:
- time.windows.com
- time.nist.gov
- Pool.ntp.org
- time.apple.com
- 与大学签约的云服务可以使用其内部时间服务器.
- 如果可能的话,时间格式应该是ISO 8601 (YYYY-MM-DDThh:mm:ss).mmm+
>)
确保OIT安全部门可以通过以下标准处理适当的日志:
- 必须将所需的日志发送到经批准的中央日志服务器以进行关联, 评审和报告生成.
- 必须为以下场景建立警报,以确保日志记录成功:
适用于:低/中/高
- 在预期的时间段内没有日志卷或日志量很低.
- Log parsing errors
- 日志存储容量已达到限制.
- 日志功能错误产生的警报必须发送给系统所有者和/或中央日志服务器管理员,以定位和解决问题.
- 日志源所有者应定期检查日志记录系统,以确保日志记录符合规定的标准.
适用于:低/中/高(至少每年一次)
- 所有日志应包含:
- 根据日志源时间调整过的utc时间戳.
- 中央日志服务器处理日志的时间戳,经过utc调整.
- 日志源的IP地址/名称.
- 生成源的应用程序/服务名称(如果可用).
- 由应用程序提供或从上下文收集的任何相关标识信息.
- 示例包括但不限于:用户名, IP addresses, device names, certificates, user-agents, x-forwarded for, 转换后的IP地址, SPF results, Geo-location data.
- 高风险数据和特权功能的使用必须能够与代表用户的单个用户或进程相关联.
- Action performed.
- 示例包括但不限于:修改密码, 身份验证的尝试, HTTP POST, email received.
- 行动结果及原因(如有)
- 例子包括但不限于:成功, 密码错误导致失败, 由于权限问题导致的失败, HTTP 404.
- 安全信息(如果有)
- 示例包括但不限于:检测到的签名、安全动作、扫描结果.
- 上下文信息
- 例如:端口号、电子邮件主题、角色分配、会话状态.
- 根据系统所有者或OIT的要求,可能对调查有帮助的任何其他项目.
所需的日志应在适当的中央日志服务器上保留1年,除非法律另有规定, regulations, 合同义务或OIT Security规定的其他义务.
以下标准可确保日志数据的机密性和完整性.
- 根据需要授予中央日志服务器访问权限.
- 每年审查一次中央日志服务器访问权限.
- 当删除中央日志服务器中的数据时,将出现警报.
- 必须根据日志中数据的风险级别对中央日志服务器应用数据分类标准.
保护学生和客人的隐私, 学生和访客网络免于网络安全监控和pDNS日志记录.
Other References
1. NIST SP800-171r2 (February 2020)
2. NIST SP800-53r5 (September 2020)
3. ISO 8601
4. 认可的中央测井系统
Definitions
1. Identity
识别唯一实体的方法. I.E. 用户名、主机名、IP地址、UUID等.
2. UTC调整时间戳
在协调世界时中记录的某个时间点的日志字段. I.E. 太平洋时间下午12:00为19:00 (UTC-8).
3. Log source
产生日志的系统.
4. 相关识别信息
可用于跨相关操作和会话唯一跟踪实体的信息. 这既包括直接标识符,如用户名和IP地址,也包括间接标识符,如UA字符串和地理位置.
5. 中央日志服务器
其他系统和应用程序转发日志的中心系统,如oit管理的Splunk, Syslog, Sentinel or AKIPS.
6. Execution logs
与应用程序中命令和功能的执行有关的日志. 示例包括但不限于API执行、SQL执行或函数执行.
7. 网络安全监控(NSM)
对网络数据包进行被动分析,以便后期进行分析和调查.
Standard Owner
OIT Security负责这些标准的内容和管理.
Contact: oit-security@fcisaltproducts.com
Revision History
3/1/2024 -小更新
- 新增备用时间服务器
- 增加了日志保留,日志访问和学生和客人豁免
- 其他小的格式/措辞/参考变化.
2023年6月23日-原始标准
- 完全重写以符合NIST 800-171r2