iPAS 資訊安全工程師 考試重點

IS223 日誌管理
主題分類
1
基本概念與差異 (日誌/事件/事故)
2
日誌管理流程與工具 (收集/正規化/SIEM)
3
日誌保存與合規 (期限/保護/稽核軌跡)
4
特定系統日誌 (Linux/Windows/應用程式)
5
事件應變與日誌 (調查/鑑識)
#LGM01
★★★★
日誌事件事故的差異
定義區分
  • 日誌 (Log):僅是如實記錄所有系統活動。例如:「使用者A在9:00-9:15嘗試登入5次失敗」。
  • 資訊安全事件 (Information Security Event):需要資安人員定義事件指標與判斷的異常現象。可能需要處理,否則可能演變成事故。例如:事件指標為15分鐘內密碼錯誤5次,需判斷是忘記密碼或遭受攻擊。
  • 資訊安全事故 (Information Security Incident):已確認造成組織損害的安全事件。需要依組織政策啟動正式事故應變程序。例如:確認駭客成功入侵系統。
(資料來源:事故處理流程 p2)
#LGM02
★★★
安全資訊與事件管理 (SIEM)
核心功能
  • 定義:收集並分析安全事件與日誌
  • 用途:提供即時警報威脅情報,協助快速反應。
  • SIEM安全維運中心 (SOC) 的核心工具。
  • 結合了安全性資訊管理 (SIM) 和安全性事件管理 (SEM) 的功能。 SIM 專注於長期儲存和分析日誌,用於合規和歷史調查;SEM 則專注於即時監控和警報。
  • SIEM 系統具有強大的日誌管理功能,能夠收集、儲存、正規化和分析來自各種來源的大量日誌資料。
注意:SIEM 仍可能產生誤報與漏報,需要持續調整和優化規則。
(資料來源:資安設備 p27, p30, p31, p41)
#LGM03
★★★★
日誌正規化 (Log Normalization)
目的與重要性
由於不同設備、系統產生的日誌格式可能不同(例如時間格式、欄位名稱),日誌正規化是將這些不同格式的日誌轉換為統一、標準化格式的過程。這對於後續的日誌分析、關聯性比對和 SIEM 系統的有效運作至關重要,可以方便分析與查詢
(資料來源:資安要素 p7, 風險管理 p43)
#LGM04
★★★★
日誌保存要求與稽核軌跡
關鍵考量
  • 保存期限:根據法規要求(如資通安全管理法規定至少6個月)或組織政策,日誌需要保存足夠長的時間以供稽核、調查或合規需求。
  • 完整性與保護:日誌應受到保護,防止未經授權的存取、修改或刪除。需確保日誌記錄的準確性與可信度,以作為有效的稽核軌跡 (Audit Trail)。
  • 不可否認性 (Non-repudiation):完整的稽核軌跡有助於確保行為的不可否認性。
  • 系統管理者不應具有刪除或修改日誌的權限,以維持日誌的公正性。
  • 日誌應記錄足夠資訊以供追蹤,例如時間、來源IP、目的IP、使用者ID、執行的動作等。
(資料來源:資安要素 p4, 網路安全 p30, 112初級管理 Q41, 112初級技術 Q43)
#LGM05
★★★
Linux 系統日誌檔案
常見日誌檔與用途
  • /var/log/messages:記錄系統核心與多數系統服務的訊息 (但不包含所有帳號登入資訊)。
  • /var/log/secure (或 /var/log/auth.log):記錄使用者登入、身份驗證相關的訊息,包括成功與失敗的嘗試。
  • /var/log/cron:記錄 crontab 排程任務的執行狀況。
  • /var/log/boot.log:記錄系統開機過程中的訊息。
  • /var/log/dmesg:記錄核心環緩衝區的訊息,主要是開機時核心偵測到的硬體資訊。
  • /var/log/lastlog:記錄每個使用者最後一次登錄的時間和來源。需用 `lastlog` 命令查看。
  • /var/log/wtmp:記錄使用者登入登出的歷史紀錄。需用 `last` 命令查看。
  • 使用者登入的歷史紀錄通常存放在 `/var/log/wtmp` (登入登出紀錄) 或 `/bash_history` (指令歷史),`/var/log/secure` 記錄驗證事件。
(資料來源:網路安全 p30, 112初級技術 Q40, Q42, 111初級技術 Q16)
#LGM06
★★
Windows 事件日誌 (Event Log)
主要類型與內容
Windows Event Log 主要包含三種類型:
  • 應用程式 (Application) 日誌:記錄應用程式產生的事件。
  • 安全性 (Security) 日誌:記錄登入成功/失敗、物件存取、權限變更等安全相關事件。 (例如:Event ID 4625 代表登入失敗)
  • 系統 (System) 日誌:記錄作業系統元件產生的事件,如驅動程式載入失敗。
Windows Event Log 不包含所有帳號最近一次登入系統的相關資訊 (這更像是Linux的/var/log/lastlog)。雖然安全性日誌會記錄登入事件,但不是彙總性的「最後一次登入」。
事件檢視器(Event Viewer)是 Windows 內建用來查看這些日誌的工具。日誌格式是 Windows 特定的,但可以透過工具轉換或使用支援的協定(如 WEF 或 Syslog 代理)匯出。
(資料來源:113初級技術 Q41, Q42)
#LGM07
★★★
日誌事件應變中的應用
角色與價值
  • 偵測與分析SIEM 等工具分析日誌以偵測異常活動與潛在威脅
  • 調查與鑑識:事故發生後,日誌是追溯攻擊路徑、確定影響範圍、找出根本原因 (Root Cause Analysis) 的關鍵證據。勒索病毒案例中,分析 EDRSIEMWindows 事件日誌、防火牆日誌可確認攻擊來源 (RDP 弱密碼)、提權漏洞 (PrintNightmare)、橫向移動等。
  • 損害評估:透過日誌分析受影響的系統與資料,評估業務衝擊。
  • 預防與改進:根據日誌分析結果,修補漏洞、強化防護措施、改善應變流程 (Lessons Learned)。
原始稽核紀錄是調查資安事件的重要證據,不應隨意刪除
(資料來源:事故處理流程 p3, p4, p6, p7, p10)
#LGM08
★★
Syslog 協定
特性與安全考量
  • Syslog 是一種標準的日誌傳輸協定,常用於將不同設備的日誌集中發送到中央日誌伺服器
  • 傳統 Syslog 通常使用 UDP port 514 傳輸,UDP 是不可靠的協定,可能遺失封包,且傳輸內容未加密
  • 為提高安全性,可採用 Syslog over TLS 或其他安全傳輸機制。
  • 防火牆需開放相應的端口(預設 UDP 514)以允許 Syslog 流量通過。
(資料來源:資安設備 p40, p41)
沒有找到符合條件的重點。