यूनिक्स / लिनक्स

PCI DSS için Oturum Açma – PCI DSS Gereksinim 10 için Sunucu ve Güvenlik Duvarı Denetim Yolları Nasıl Toplanır?

PCI DSS Gereksinim 10 tüm aygıtlar ve kullanıcılar için tüm etkinliklerin tam denetim izini gerektirir ve özellikle tüm olay ve denetim günlüklerinin merkezi olarak ve güvenli bir şekilde yedeklenmesini gerektirir. Buradaki düşünce iki yönlüdür.

Öncelikle, proaktif bir güvenlik önlemi olarak, PCI DSS tüm günlüklerin günlük olarak gözden geçirilmesini gerektirir (evet – bunu doğru bir şekilde okudunuz – TÜM KAYITLAR GÜNLÜKLERİNİ İNCELEYİN – Bu potansiyel olarak ezici yükün daha sonra …) Güvenlik Ekibinin, ağın günlük işlerini 'her zamanki' işleriyle daha samimi hale getirmesini gerektirir. Bu şekilde, gerçek bir güvenlik tehdidi ortaya çıktığında, olağandışı olaylar ve etkinlik kalıpları aracılığıyla daha kolay algılanabilir.

Tüm aktiviteyi kayıt altına almak için ikinci sürücü, bir 'kara kutu' kaydedilmiş denetim izini vermektir, böylece bir siber suç varsa işlendiğinde, güvenlik olayını çevreleyen faaliyetin adli bir analizi yapılabilir. En iyi ihtimalle, fail ve onların kötülüklerinin boyutu tanımlanabilir ve giderilebilir. En kötüsü – saldırılardan ders alınabilir, böylece süreçler ve / veya teknolojik güvenlik savunmaları geliştirilebilir. Tabii ki, bunu okuyan bir PCI Merchant iseniz, o zaman ana sürücünüz bu zorunlu bir PCI DSS gereksinimidir – bu yüzden hareket etmeliyiz!

Hangi Aygıtlar PCI Gereksinim 10 kapsamındadır? ] Hangi cihazların bir bütün olarak PCI DSS kapsamı içerisindeymiş olduğu ile aynı cevabı ele almakla ya da kart verisine erişim ile ilgili her şey kapsam dahilindedir ve her birinde bir denetim izi yakalamamız gerekiyor. En önemli aygıtlar güvenlik duvarı, yerleşim veya işlem dosyaları bulunan sunucular ve PCI Estate için herhangi bir Etki Alanı Denetleyicisi olmakla birlikte, kapsamdaki tüm aygıtlar istisnasız olarak ele alınmalıdır.

Olay Günlüğünü nasıl elde ederiz? kapsamı 'PCI aygıtlar?

Onları sırayla alacağız –

Güvenlik Duvarı'ndan PCI Olay Günlüklerini nasıl alabilirim? kesin komut seti üreticiler arasında değişir. ve güvenlik duvarı sürümleri, ancak Güvenlik Duvarı Web arabirimi veya Komut Satırı aracılığıyla 'günlüğe kaydetme' özelliğini etkinleştirmeniz gerekir. Tipik bir örnek alarak – bir Cisco ASA – CLI komut dizisi aşağıdaki gibi bir günlük kayıt konsolunda oturum açma günlüğü izler (abcd, syslog sunucunuzun adresidir) abcd kayıt günlüğünü kaydetme izleyicisi bilgisini kaydetme Bu, tüm 'Bilgi' düzeyini ve yukarıdaki mesajlar syslog sunucusuna yönlendirilir ve tüm oturum açma ve oturum kapatma olaylarının yakalanmasını garanti eder.

Windows Sunucuları ve EPoS / Till'lerden nasıl PCI Denetim Yolları alabilirim? – Windows Sunucuları ve PC'ler / EPoS cihazları için birkaç adım daha gerekiyor. Her şeyden önce, oturum açma ve oturumu kapatma olaylarının, ayrıcalık kullanımının, politika değişikliğinin ve uygulamanıza ve kart verilerinin nasıl ele alındığına bağlı olarak nesne erişimine dikkat edilmelidir. Yerel Güvenlik İlkesini Kullanma SIEM sisteminizi sistem sorunlarının giderilmesine ve önbelleğe alınmasına yardımcı olmak için kullanmak istiyorsanız, Sistem Olayı günlüğünü etkinleştirmek isteyebilirsiniz. Hatalı bir disk, disk hatalarını tespit ederek tam başarısızlıktan önce önlenebilir. Tipik olarak, her Etkinlik için Başarı ve Başarısızlık Gerekir –

  • Hesap Oturum Açma Etkinlikleri- Başarı ve Başarısızlık
  • Hesap Yönetimi Etkinlikleri- Başarı ve Başarısızlık
  • Dizin Hizmeti Erişim Olayları – Başarısızlık
  • Oturum Açma Olayları – Başarı ve Başarısızlık
  • Nesne Erişim Olayları – Başarı ve Başarısızlık [19659011] Politika Değişim Olayları – Başarı ve Başarısızlık
  • Ayrıcalık Kullanım Olayları – Başarısızlık
  • Süreç İzleme – Denetleme Yok
  • Sistem Olayları – Başarı ve Başarısızlık

* Yalnızca bir Domain Controller üzerinde bulunan Directory Service Access Events

** Nesne Erişimi – Klasör ve Dosya Denetimi ile birlikte kullanılır. Denetim Hataları, güvenlik ihlali girişimi olabilecek yasaklanmış güvenli nesnelere erişim girişiminde bulunduğunu ortaya koymaktadır. Denetim Başarı, bir ödeme / işlem dosyası / klasöründeki kart verileri gibi güvenli bir tarihe erişimin bir Denetim İzi vermek için kullanılır.

*** İşlem Takibi – bu çok sayıda etkinlik oluşturacağından önerilmez . Özel bir beyaz listeye / kara listeye alma teknolojisini kullanmak daha iyidir l

**** Sistem Olayları – PCI DSS uyumluluğu için gerekli değildir, ancak PCI DSS girişiminin ek bir 'katma değer' sağlamak için sıklıkla kullanılması, donanımla ilgili sorunların erken uyarı belirtilerinin sağlanması ve böylece ön boşaltma sistemi arızaları. Olaylar denetlendikten sonra, merkezi syslog sunucunuza geri gönderilmeleri gerekir. Bir Windows Syslog aracı programı otomatik olarak Windows Olay günlüğüne bağlanır ve tüm olayları syslog ile gönderir. Bunun gibi bir ajanın ek faydası, olayların standart syslog ciddiyetine ve tesis kodlarına formatlanması ve ayrıca önceden filtrelenmesidir. Olayların, yerel sunucu olay günlüğünü temizleme fırsatı olmadan yedeklendiğinden emin olmak için güvenli syslog sunucusuna gerçek zamanlı olarak iletilmesi çok önemlidir.

Unix / Linux Sunucuları – Etkinleştir Red Hat Enterprise Linux, CentOS ve Ubuntu gibi tüm UNIX ve Linux İşletim Sistemlerinin standart bir parçası olan syslogd arka planını kullanarak günlüğe kaydetme. /Etc/syslog.conf dosyasını düzenleyin ve syslog sunucusunun ayrıntılarını girin.

Örneğin, aşağıdaki satırı /etc/syslog.conf dosyasına ekleyin

*. * @ (Abcd)

Veya Solaris veya diğer Sistem 5 tipi UNIX kullanıyorsanız

*. debug @abcd

*. info @ abcd

*. not @ abcd

*. Uyarı @ abcd

*. err @ abcd

*. Crit @ abcd

*. Alert @ abcd

*. Emerg @ abcd

Burada abcd, hedeflenen syslog sunucusunun IP adresidir.

üçüncü taraf uygulaması, örneğin Oracle, o zaman üçüncü parti günlük dosyalarının syslog ile aktarılmasına izin veren özel Unix Syslog aracısı kullanmanız gerekebilir.

Diğer Ağ Aygıtları PCI'lar Kapsamındaki Yönlendiriciler ve Anahtarlar DSS'nin de olayları syslog ile göndermek için yapılandırılması gerekecektir. Güvenlik duvarları için daha önce de açıklandığı gibi, syslog tüm ağ cihazları ve cihazları için neredeyse evrensel olarak desteklenen bir işlevdir. Ancak, syslog'un desteklenmediği nadir durumlarda, SNMP yakalayıcıları SNMP yakalamalarını alıp yorumlayabildiği sürece kullanılabilir.

PCI DSS Gereksinim 10.6 "En az günlük tüm sistem bileşenleri için günlükleri gözden geçirin. " Artık PCI DSS kapsamındaki tüm cihazlardan doğru kayıtların nasıl alınacağını ele aldık, ancak bu genellikle Gereksinim 10'un ele alınmasının daha basit bir parçası. Sıklıkla PCI Tüccarları en çok ilgilendiren Gereksinim 10'un yönü ekstra Potansiyel olarak muazzam bir kütük hacmi analiz etmek ve anlamaktan sorumlu oldukları iş yükü. “Görme dışı, akılsız” felsefesi ya da “eğer günlükleri göremezsek, o zaman mantıkların gözden geçirilmesinden sorumlu olamayız. Tüccarın önündeki ekran, artık onları görmezden gelmek için herhangi bir bahane yok.

Açıkçası, PCI DSS, 12 gereksinime karşı nasıl teslim edileceği konusunda kuralcı olmamakla birlikte, Gereksinim 10 özellikle "Günlüğü toplama, ayrıştırma ve uyarı verme" konusunu açıklıyor. Gereksinim 10.6 "ile uyumu sağlamak için araçlar kullanılabilir." Pratikte, küçük ölçekli bir ortamda bile tüm olay kayıtlarını gözden geçirmek için aşırı derecede güçlü bir görev olacaktır ve günlükleri analiz etmenin otomatik bir yolu esastır.

Ancak, doğru bir şekilde uygulandığında, bu daha basit bir hale gelecektir. PCI DSS'nin rahatsız edici yüküyle başa çıkmanıza yardımcı olacak bir araç. Akıllı Güvenlik Bilgileri ve Etkinlik Yönetimi sistemi, tüm sorun giderme ve problem soruşturma görevleri için çok faydalı olacaktır. Böyle bir sistem, potansiyel operasyonların iş operasyonlarını etkilemeden önce tespit edilip sabitlenmesini sağlayacaktır. Güvenlik açısından, sisteminizin normal işleyişiyle 'içten' olmanızı sağlayarak, gerçekten olağandışı ve potansiyel olarak önemli güvenlik olaylarını tespit etmek için iyi bir konuma sahip olursunuz.

Daha fazla bilgi için http: adresine gidin. //www.newnettechnologies.com

All malzeme telif hakkı New Net Technologies Ltd.