勒索病毒介紹與防禦措施

勒索軟體通常透過木馬病毒的方式傳播，例如透過下載檔案夾帶，或是透過網路系統的漏洞而進入受害者的電腦。勒索軟體在進入後，會直接執行，或是透過網路下載病毒的實體資料，並恐嚇受害者。恐嚇訊息隨著不同的病毒而異，例如假借執法機關的名義，恐嚇受害者的電腦被發現進行非法行動，如色情、盜版媒體，或是非法的作業系統等。

某些實體資料只將作業系統鎖住，直到受害者付清贖金後才將電腦解鎖。實體資料可能以數種手段來達成恐嚇，包括將Windows的使用者介面（Windows Shell）綁定為病毒程式，或甚至修改磁碟的主啟動磁區、硬碟分割表等。最嚴重的一種實體資料將受害者的檔案加密，以多種加密方法讓受害者無法使用檔案，唯一的方法通常就是向該病毒的作者繳納贖金，換取加密金鑰，以解開加密檔案。

獲得贖金是這類病毒的最終目標。要讓病毒的開發者不易被執法單位發現，匿名的繳款管道是開發者的必要元素。有數種的管道發現被開發者用作匿名繳款，例如匯款、簡訊小額付款、線上虛擬貨幣、數位貨幣比特幣等。

加密型勒索軟體

最早已知的此種病毒是1989年的"AIDS" Trojan病毒，由Joseph Popp製作。該病毒的實體資料會宣稱受害者的某個軟體已經結束了授權使用，並且加密磁碟上的檔案，要求繳出189美元的費用給PC Cyborg Corporation以解除鎖定。使用公開金鑰加密的構想是1996年由Adam L. Young和Moti Yung所提出的。兩人指出，AIDS Trojan之所以無法有效發揮作用，是因為其採用的是私鑰加密，該技術的加密金鑰會儲存於病毒的原始碼中，從而瓦解該病毒的作用。兩人並且實作了一隻概念驗證的實驗性病毒，在Macintosh SE/30電腦上使用RSA及TEA演算法加密資料。他們將這種行為稱作明顯的「加密病毒勒索」（cryptoviral extortion），屬於現今稱作加密病毒學中的一個分支。

2005年5月開始，勒索軟體變得更為猖獗。在2006年中，勒索軟體開始運用更加複雜的RSA加密手段，甚至加長金鑰的長度，像是Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip、MayArchive等病毒。例如在2006年6月發現的Gpcode.AG使用了660位元的RSA公鑰。2008年6月，發現了該病毒的新變種Gpcode.AK。該變種使用了1024位元的RSA公鑰，據信在不使用分散式計算的情況下，破解該金鑰對單一電腦來說，將是徒勞無功的。

加密勒索軟體隨著2013年尾開始出現行蹤的CryptoLocker又開始了新一波的活躍期，該病毒最大的差異在於利用新時代的比特幣進行勒索。2013年12月，ZDNet估計該病毒單單在該月（12月）15日至18日間，就利用比特幣從受害者身上汲取了2700萬美元的鉅額。CryptoLocker的手法在緊接著的幾個月內被多種病毒所效仿，包括CryptoLocker 2.0（被認為和原始的CryptoLocker無關）、CryptoDefense（值得注意的是，該病毒的初始版本包含了一個嚴重的設計缺陷，將私鑰儲存在使用者能找到的位置，因為其使用Windows的內建加密API進行行動。），以及2014年8月一個專門針對群暉科技（Synology）生產的網路附加儲存（NAS）裝置進行攻擊的病毒。 在2014年尾，High-Tech Bridge資安公司甚至發現了將整個伺服器上網站都加密的RansomeWeb病毒。

在2015年，刊載了一份詳盡的報告，列舉出不同的勒索軟體所使用的加密技術、弱點，及可能的防範措施等。What You Can (and Can’t) Do Against Ransomware

2017年5月，勒索軟體WannaCry大規模感染了包括西班牙電信在內的許多西班牙公司、英國國民保健署、聯邦快遞和德國鐵路股份公司。據報導，至少有99個國家的其他目標在同一時間遭到WanaCrypt0r 2.0的攻擊。

非加密型勒索軟體

在2010年8月，俄羅斯當局逮捕了十名與WinLock木馬病毒有關聯的嫌犯。WinLock病毒並不像前面所提到的Gpcode一樣對電腦加密，相反的，WinLock顯示色情圖片遮擋使用者的電腦螢幕，並提示受害者利用大約10美元的簡訊付費以接收解鎖的密碼。這個病毒襲擊了俄羅斯及鄰近國家的許多人，並被報導指出，攻擊者賺取了超過一千六百萬美元的收入。

2011年，一個勒索軟體假藉Windows產品啟用的名義行騙，提示受害者的Windows因為是詐騙的受害者（victim of fraud），所以必須重新啟用。就像真正的產品啟用一樣，病毒也提供了線上啟動的選項，卻顯示成無法使用，並要求受害者撥打六支國際電話的其中一隻，並且輸入六位數密碼。雖然病毒宣稱該電話號碼為免費撥打，電話卻實際上會被轉接到高費率的國家，再刻意將該通話置於保留（on hold），藉此讓受害者付出高額的國際長途電話費用。

2013年，一款基於Stamp.EK攻擊套件的病毒浮上檯面。該病毒散發訊息在各個SourceForge和GitHub專案頁面中，並宣稱提供名人的假造裸照。 2013年7月，一個針對OS X的勒索軟體出現。該病毒會顯示一個網頁，宣稱受害者被發現下載色情媒體。不像Windows的病毒一樣對整個系統上鎖，該病毒只能利用點選劫持來混淆受害者的視聽，試圖不讓受害者用正常方式關閉該頁面。

2013年7月，一名來自維吉尼亞州的21歲男子中了勒索軟體，卻在巧合之下，因為自己的電腦確實儲存了和他聊天過的未成年少女的裸照，而病毒顯示FBI查獲兒童色情媒體的警告，向警方自首。2016年1月，也發現了威脅要將受害者的瀏覽紀錄公開的勒索軟體。

防禦

就像其他形式的惡意軟體一樣，防毒軟體不一定能偵測出勒索軟體的實體資料──尤其是加密用的軟體一直到開始加密或是完成加密了才被發現。對於未知的病毒來說更是如此。若攻擊尚在早期階段，加密檔案尚未成功，此時強制移除病毒實體資料就能避免對資料的進一步加密，例如拔除電源等物理性做法也是可以搶救回部分資料。安全專家建議了一些預防措施來應對勒索軟體，例如使用防毒軟體或設定以避免已知的勒索軟體執行；保留與不與電腦連接的資料備份，尤其某些病毒會將仍與電腦連接的備份檔案一併加密。非加密性勒索軟體能被專家移除，或是利用現成的安全軟體刪除。

雖然勒索軟體的威脅無法被完全革除，使用IT業界所稱的多層次預防策略（defense-in-layers security strategy）卻稱得上是不錯的預防手段。多層次預防策略提倡同時部署多種獨立、領域互相重疊的安全措施以建立穩固的安全措施。各安全層被設計和其他安全層互補，使得威脅不易穿透重重防護。例如一個安全策略可能包含下列五層：

全面性的、完備的安全政策
網路和郵件的內容過濾代理伺服器
基於安全等級設置存取控制
加密重要資料
強化員工教育訓練

資料來源wiki

5 Steps to Take on Ransomware – A Defense-in-Layers Approach

您或公司具備足夠防護了嗎？

政策面

(1) 應定期確認所有主機(包含終端使用者以及伺服器主機)，都更新至最新安全性更新。   安全性更新分別為作業系統以及應用程式(例如Flash, Acrobat, Office, etc.)

• 微軟每月定期進行更新，須安排當月於測試環境驗測無誤後，進行更新。
• 其他第三方廠商之軟體，也應於弱點公布、廠商提供相關修補程式後，於當月安排時間進行更新。
• 定期檢閱CVE，以確認是否有新的弱點需要進行修補(每週/每月)。

(2) 訂定良好的網路共享權限管控

• 共享資料夾應明確指定共享帳號(或群組)

(3) 終端使用者以及伺服器主機存取Internet，應有良好的規範控管

• 針對伺服器，禁止下載可執行檔
• 針對伺服器，上網採用正向表列開放可存取網站
• 針對POS, Kiosk系統，採取正向表列可執行的程式。
• 針對終端使用者，禁止瀏覽高風險網站。

(4) 重要資料應定期備份，並且應於定期進行資料還原演練

• 備份應該在不影響日常運行，並且貼近於使用者平時使用習慣
• 重要資料應每週或每月進行備份
• 備份資料應於每季或每半年進行還原演練
• 備份應有一份離線備份，避免遭受感染時，一併感染備份的檔案

(5)提高企業內部員工資訊安全意識

• 加強內部宣導，不要隨意開啟來源不明的郵件附加檔案(特別是.SCR, .CAB格式)
• 應定期針對內部員工進行資訊安全訓練(如每季)
• 於公司內公共場所提供資安訊息

技術面：應持續更新作業系統或是應用軟體，平均四天軟體漏洞就可能被駭客所利用

(1)     傳統防毒

• 針對最新已知病毒可以有效隔離並刪除。
• 使用雲端防護機制，讓端點防護可以得到最快最新的保護。

(2)     網路釣魚郵件

• 公司安裝了可以防治惡意軟體的郵件閘道
• 公司郵件閘道可以使用沙箱來測試惡意軟體
• 不小心誤開啟惡意郵件後，端點防護軟體仍然可以偵測到可疑加密行為並中斷執行。

(3)     惡意廣告 網頁掛馬

• 使用網頁信譽評等相關雲端服務來阻隔已知惡意網頁
• 端點防護可以在勒索軟體與C&C伺服器溝通時有效阻隔
• 端點防護可以偵測到Exploit kit並阻擋

(4)     Botnet

• 針對已知Botnet的C&C伺服器可以有效隔離
• 端點防護可以偵測Botnet是否在背景運作並阻擋
• 公司管理者可以透過系統偵測內部有可疑Botnet連線並阻擋

(5)     滲透攻擊與主動橫向感染

• 公司管理者可以透過系統發現可疑封包並阻擋
• 端點防護在未知勒索軟體執行時，能發現可疑加密行為，並在第一時間嘗試備份檔案；確定為惡意後可阻擋加密行為並阻擋勒索軟體，並有機會利用檔案備份復原檔案。

(6) 檔案備份與復原

• 遵守3-2-1備份原則：3份備份、2種不同儲存媒體、1個不同的存放地點。

資料來源：

*1 : FBI, 2015 June,

https://www.fbi.gov/sandiego/press-releases/2015/fbi-warns-public-of-cryptowall-ransomware-schemes

*2 : ICIT (Institute for Critical Infrastructure Technology ), 2016 March,

http://icitech.org/wp-content/uploads/2016/03/ICIT-Brief-The-Ransomware-Report2.pdf
*3：趨勢科技

社交工程(Social Engineering)

There is No Patch to  Human Stupidity

系統安全性更新，病毒碼更新，漏洞修補，是資安管理上最基本的要求，但唯獨「人」的思維，行為模式沒有辦法安全性更新，也正因如此「人」永遠是資安最弱的一環，不論有多強的安全防護架構，常常是因為人的疏忽導致資安事件。而社交工程也正是基於人性的弱點作為攻擊途徑；好奇心、恐懼心、貪心、同情心，這些都是罪犯常利用的弱點，而這類攻擊手法不需要高深的入侵技術，來破解防火牆，躲避入侵偵測系統或防毒系統，以合法掩護非法，透過電子郵件，社群網站、訊息平台、商務網站等合法管道，將惡意程式傳入受害者電腦，手機，USB等各式裝置。

所以對於社交工程我們應該更深入了解攻擊行為，並擬定適當的防護措施

首先我們必須知道社交工程可是一種使人信服的藝術，如下圖步驟
一、想辦法取得受害者的信任
二、利用對社交工程的無知，更容易成為攻擊的目標
三、威脅受害者因損失某事物
四、誘使受害者提供攻擊者需要的一些重要資訊(如洩漏個資)
五、受害者被要求做一些看似降低損害，但卻是損失更大的行為(如匯款轉帳行為)

社交工程的攻擊類型基本上可分為

基於人為(Human-Based) 

假冒員工或合法用戶 (Impersonating an Employee or Valid User)

冒充重要人員(Posing as an Important User)

使用第三人稱Using a Third Person

透過技術支援Calling Technical Support

偷窺(Shoulder Surfing)

翻閱垃圾桶(Dumpster Diving)

基於電腦(Computer-Based)

電子郵件附檔(Email attachments)

假網站(Fake websites)

彈出視窗(Pop-up windows)

Inside Attack 

商業間諜(Spying)

心懷惡意員工(Revenge)

Preventing

重要職責應區分

僅提供最小權限

系統、資料應有存取控制

對於存取活動應紀錄並稽核

擬定資安政策

重要資料應有防護機制

Identity Theft

個人身分憑證(身分證、護照、自然人憑證等)

個人資料(姓名、身分證字號、住址、出生年月日、電話、金融資料、醫療紀錄...)

Social-Engineering Countermeasure

一、密碼政策(Password policy)

二、資訊設備政策(Physical Policy)

三、電子郵件政策(Email Policy)

四、社交工程教育訓練(Training)

五、資訊應分級(Classification information)

六、存取權限設置(Access privileges)

七、員工背景查核(Background check)

八、資安事件處理程序(Incidence response)

九、雙因子認證(Two-Factor Authentication)

十、防毒軟體(Anti Virus)

十一、防釣魚軟體Anti Phishing Defenses

(Netcraft：https://www.netcraft.com/、PhishTank：https://www.phishtank.com/)

十二、變更管理Change Management

Identity Theft Countermeasure 

一、丟棄含有個資的文件前應碎化或隱密(帳單，稅單)

二、維持郵件信箱的安全，刪除機敏的郵件

三、確認沒有個人資料被公開於網路上

四、對於要求你個資的APP或其他資訊服務應檢視並盡量不提供

五、檢視信用卡帳單內容是否異常

六、不要讓信用卡離開你的視線

七、保護在公開網路上的個人隱私資料

八、不要在手機上記錄個人資料

九、在公開網路上不要提供個人聯絡資訊，除非是強制規定

資料來源：CEH

善用免費開源軟體，改善IT環境開始強化資安

挑選開源軟體有訣竅，更新頻繁程度是指標

基本上，許多提供開放原始碼軟體的開發者，最初研發的動機，便是出自於自身的需求，因此，很有可能在自己不再使用之後，便停止開發，或是交由他人維護，導致日後的軟體品質堪慮。雖然原始碼公開之後，任何人都能加以改寫、改進，但缺乏有志之士挺身而出延續軟體維護的情況，也不時發生，甚至還有在專案移交之後，新任維護者從供應鏈下手攻擊的現象。因此，許多的資訊人員，對於開源解決方案，心裡總有一份擔憂，畢竟，商業軟體出錯，或許可以找廠商負責弄到好，但開放原始碼的軟體，出現各種異常通常得自行處理，很多原本躍躍欲試的資訊人員，可能因此打退堂鼓。

鄭郁霖指出，IT人員想要挑選合適的開源軟體，不只要從自身的需求面評估，也要考量軟體開發者的支援能力，減少導入之後一旦遇到開發者停止維護，便求助無門的情形。資訊人員想要確認這件事，可從3個面向著手，首先，是這款軟體的更新頻率，假如一款軟體好幾年都沒有更新，那麼要是使用之後遇到臭蟲，或是與其他應用程式不相容的情形，可能就得要自行想辦法解決。

再者，則是有關這款軟體受到採用的程度。假如一款開源軟體有許多人採用，那麼出現錯誤時，除了開發者能夠處理，也比較有機會出現有志之士，協助提出修正檔案或是其他解決方案。

若是擔憂個人開發者可能因為自身各式的狀態，而終止軟體維護，鄭郁霖認為，也可以選擇由商業公司提供的開源軟體。由於這種型態的廠商，通常以提供技術支援與軟體進階功能獲利，開源版本的口碑會影響其商譽，因此，由他們推出的開源軟體，可靠性與後續的支援較有保障。

除了軟體開發者支援的能力，開源軟體的授權和安全性，也是必須納入評估的部分。不過，雖說資訊人員可透過前述指標，確保自己不會變成軟體孤兒，但是開源軟體的授權種類繁多，會不會存在什麼限制沒有留意到，而導致企業不小心違反相關授權條款？軟體的安全性又要如何評估？有沒有工具能協助我們判斷呢？

答案其實是有的。鄭郁霖提出了Open Hub平臺──IT人員只要輸入開源軟體的名稱，該平臺就會顯示有關這套軟體專案的情況，包含所採用的授權模式、漏洞出現的頻率與修補因應的可靠程度指標、專案的活躍程度，以及具有高度同質性的替代開源軟體等資訊，可供參考。Open Hub由老牌開源套件檢測解決方案業者Black Duck（現被Synopsys併購）推出，統整了47萬款開源軟體專案的資料，對於想要採用開放原始碼解決方案的IT人員而言，Open Hub可說是相當實用的資訊平臺。

想要了解開源軟體的評價，老牌開源套件檢測解決方案業者Black Duck所推出的Open Hub，可讓IT人員快速掌握所需資訊，包含頁面上方的專案概略介紹，以及性質相近的解決方案，還有中間對於所採用的授權方式說明，而下方則是呈現了軟體的發展情形，包含程式碼數量的增長趨勢、每個月提交的項目與貢獻者人數等資訊。

資料來源：iThome

01.虛擬化平臺 Proxmox VE
https://www.proxmox.com/en/proxmox-ve

02.裝置與服務警示系統 LibreNMS
https://www.librenms.org/

03.資產管理系統 Open-audIT
https://www.open-audit.org/

04.事件記錄管理與分析系統 Graylog
https://www.graylog.org/

05.網路儲存伺服器系統FreeNAS
https://freenas.org/

06.資料備份系統 Duplicati
https://www.duplicati.com/

07.網路存取控制系統 PacketFence
https://packetfence.org/

08.行動裝置管理系統 WSO2 IoT
https://wso2.com/iot

09.弱點檢測系統 OpenVAS
http://openvas.org/

10.行動應用程式檢測系統 MobSF
https://github.com/MobSF/Mobile-Security-Framework-MobSF

11.程式碼檢測平臺 SonarQube
https://www.sonarqube.org/

12.郵件安全閘道 Proxmox Mail Gateway
https://www.proxmox.com/en/proxmox-mail-gateway

因應10種資安防護需求的免費與開源工具

事前預防

01.資產盤點 OCS Inventory NG
https://www.ocsinventory-ng.org/

02.網路盤點 The Dude
https://mikrotik.com/thedude

03.網路流量管制 Endian UTM
https://www.endian.com/

04.對外服務盤查 Nmap
https://nmap.org/

05.軟體更新管理 WSUS
（Windows Server作業系統的內建功能）

06.伺服器狀態監控 Zabbix
https://www.zabbix.com/

07.暴力登入防治 Fail2ban與Wail2ban
Fail2ban https://www.fail2ban.org/wiki/index.php
Wail2ban https://github.com/glasnt/wail2ban

事中偵察

08.防範DDoS攻擊 Imperva Incapsula或Cloudflare WAF
Imperva Incapsula https://www.incapsula.com/pricing-and-plans.html
選擇網頁右下方的「Free Plan」註冊
Cloudflare WAF https://www.cloudflare.com/zh-tw/waf/

09.強化網站應用程式安全 Nginx
https://nginx.org/en/download.html

10.端點電腦蒐證 E-fense Helix
https://www.e-fense.com/products.php
免費版本為2009R1

https://www.ithome.com.tw/news/129866
https://www.ithome.com.tw/news/129457

淺談以STIX實現網路威脅情報標準化框架

現今組織越來越需要擁有蒐集網路威脅情報 (Cyber Threat Intelligence) 的能力，並且要有足夠的情報分享能力，以能夠與其信任夥伴分享網路威脅情報，足以共同防禦網路威脅。網路威脅情報分享 (Cyber Threat Intelligence and Information Sharing) 能夠幫助組織面對並聚焦在現今龐大且複雜的網路安全資訊，此時組織需要的是具標準化、架構性的資訊，才能一窺網路安全事件的全貌。STIX (Structured Threat Information eXpression) 是由 MITRE 公司 (The MITRE Corporation) 所定義與開發出用來快速能達到表示事件相關性與涵蓋性之語言，以表達出架構性的網路威脅資訊。STIX 語言將包含網路威脅資訊的全部範圍，並盡可能地達到完整表示、彈性化、可延展性、自動化與可解讀性等特性。


網路安全已經演變成一個複雜且具多重因子的問題，網路攻擊行為已不如過往那樣單純。我們可以從一個「Kill Chain (攻擊鏈)」知道一次網路攻擊可能分成好幾個步驟，亦可從中了解最新的攻擊行為與如何防範。

一、 攻擊者從觀察目標、製作攻擊工具、送出攻擊工具、攻擊目標弱點、控制目標、於目標執行工具，至遠端維護攻擊工具，循序漸進控制目標，並立足於目標以能進行更進一步的攻擊。此種攻擊過程即為廣為人知的 APT 攻擊 (Advanced Persistent Threat，即進階持續性滲透攻擊) 。正因 APT 攻擊的發展，讓網路安全防禦與事件調查變得更加困難，也因此衍伸出「網路威脅情報分享」等相關議題。
二、 STIX 是一種做為標準化網路威脅資訊的分類、獲取、特徵化與溝通之開發語言，可協助有效管理網路威脅之過程與自動化應用。高階的網路安全仰賴以下資訊：

1. 網路可觀性 (Cyber Observation)。
2. 事件跡象 (Indicators)。
3. 惡意的行為的手法、技術與過程 (Tactics, Techniques, and Procedures，簡稱TTPs ，包含攻擊特徵、惡意軟體、暴露之弱點、kill chains、使用工具、事件架構、受害目標等)。
4. 暴露目標 (Exploit Targets，例如弱點、漏洞等)
5. 防範行動 (Course of Action，簡稱COA，包含事件應變或弱點補救措施)。
6. 網路攻擊活動 (Cyber Attack Campaigns)。
7. 網路威脅者 (Cyber Threat Actor)。

以下圖表為 STIX 所提供之核心 Use Case 概觀，以支持網路威脅管理。

UC	敘述		角色
UC1	判斷、懷疑、分析 (決定是否為惡意、是否擴散)、調查 (誰是目標？何時發生？)、保留紀錄、建議對應作為、分享資訊。		網路威脅分析師
UC2	將觀察到的特性分類。以人工方式輔以自動化工具或架構化的威脅資訊。		網路威脅分析師
UC3	預防/偵測威脅行為，調查類似事件並回報，然後加以防禦以降低成為弱點或目標的機會
	預防	評估針對潛在威脅的預防行為，決定採用方案。	網路決策人員
	偵測	監視網路行為，以透過威脅特徵偵測過去發生過的事件是否再度發生。	網路操作人員
	事件回報	調查事件的原因、辨別與分類，並予以降低威脅或校正。	網路操作人員
UC4	發布政策，分享資訊。		網路決策人員

詳全文_淺談以STIX實現網路威脅情報標準化框架

稽核紀錄管理(Log management)

稽核紀錄(Log)的管理，對於資訊管理者而言通常是很嚴峻的工作，各種安全軟硬體產品，都各有其不同的Log紀錄，預設監測的事件紀錄是否符合組織安全目標的要求，對於監測的紀錄何時檢視，誰來檢視這些紀錄，是否包含網路管理員、系統管理員、資料庫管理員都要對不同的紀錄進行檢視，多如牛毛的紀錄對於預防資安事件是否有幫助，如何分析這些Log紀錄，種種的問題都考驗管理者如何妥善的管理這些Log紀錄，參考NIST SP 800-92 Guide to Computer Security Log Management ，此份指引將Log管理區分成幾個方面，首先，應確認組織中有那些防禦性偵測性的安全機制(Security Software)，了解每種系統的Log紀錄，其次，選出組織中哪些伺服器之作業系統(Operation System)需要監控，最後，確認組織中哪些應用系統(Application System)需要監控，如業務類或是支援類有不同的監控要求。確認的虛監控的標的後，選擇需要紀錄的事件，可參考Microsoft在事件檢視器中有定義一些需蒐集紀錄的事件。Log管理的建置策略可參考(Establish Logging Policies)章節。

NIST SP 800-92 Guide to Computer Security Log Management

摘要

Security Software(安全性系統)

1. Antimalware Software (防毒軟體)
2. Intrusion Detection and Intrusion Prevention Systems (入侵偵測系統)
3. Remote Access Software(遠端存取軟體)
4. Web Proxies(網站代理伺服器)
5. Vulnerability Management Software. (弱點管理軟體)
6. Authentication Servers (認證伺服器)
7. Routers (路由器)
8. Firewalls (防火牆)
9. Network Quarantine Servers (網路監控伺服器)

Operating Systems(作業系統)

1. System Events (系統事件) shutting down the system or starting a service.(關機或重啟)、failed events and the most significant successful events are logged,(失敗事件)、CIA的考量(機密性、'完整性、可用性)
2. Audit Records  Microsoft 事件檢視器稽核原則建議

類別	子類別	審核設定
帳戶登入	認證驗證	成功與失敗
帳戶管理	安全性群組管理	成功
帳戶管理	使用者帳戶管理	成功與失敗
帳戶管理	電腦帳戶管理	成功與失敗
帳戶管理	其他帳戶管理事件	成功與失敗
詳細追蹤	進程建立	成功
詳細追蹤	處理常式終止	成功
登入/登出	使用者/裝置宣告	未設定
登入/登出	IPsec 延伸模式	未設定
登入/登出	IPsec 快速模式	未設定
登入/登出	標識	成功與失敗
登入/登出	登出	成功
登入/登出	其他登入/登出事件	成功與失敗
登入/登出	特殊登入	成功與失敗
登入/登出	帳戶封鎖	成功
物件存取	已產生應用程式	未設定
物件存取	檔案共用	成功
物件存取	檔案系統	未設定
物件存取	其他物件存取事件	未設定
物件存取	登錄	未設定
物件存取	卸除式存放裝置	成功
原則變更	審核原則變更	成功與失敗
原則變更	MPSSVC 規則層級原則變更	成功與失敗
原則變更	其他原則變更事件	成功與失敗
原則變更	驗證原則變更	成功與失敗
原則變更	授權原則變更	成功與失敗
許可權使用	機密許可權使用	未設定
系統	安全性狀態變更	成功與失敗
系統	安全性系統延伸	成功與失敗
系統	系統完整性	成功與失敗

Applications(應用系統)

1. Client requests and server responses (需求與回應)
2. Account information(帳號監控
3. Usage information(資料存取監控)
4. Significant operational actions(重要的作業行為)

Usefulness of Logs.

The Need for Log Management

The Challenges in Log Management

        Log Generation and Storage 

Many Log Sources(log來源多樣)

Inconsistent Log Content (不一致的內容)

Inconsistent Timestamps(不一致的時間戳記)

Inconsistent Log Formats(不一致的格式)

         Log Protection

Log Analysis

Log Management Infrastructure

Architecture

Log Generation

Log Analysis and Storage

Log Monitoring.

Establish Logging Policies(建置log管理的策略)
Log generation (要監測哪些log)

1. Which types of hosts must or should perform logging 
2. Which host components must or should perform logging (e.g., OS, service, application)
3. Which types of events each component must or should log (e.g., security events, network connections, authentication attempts)
4. Which data characteristics must or should be logged for each type of event (e.g., username and source IP address for authentication attempts)
5. How frequently each type of event must or should be logged (e.g., every occurrence, once for all instances in x minutes, once for every x instances, every instance after x instances)

Log transmission (log如何傳遞至 log server)

1. Which types of hosts must or should transfer logs to a log management infrastructure
2. Which types of entries and data characteristics must or should be transferred from individual hosts to a log management infrastructure
3. How log data must or should be transferred (e.g., which protocols are permissible), including out-of-band methods where appropriate (e.g., for standalone systems)
4. How frequently log data should be transferred from individual hosts to a log management infrastructure (e.g., real-time, every 5 minutes, every hour)
5. How the confidentiality, integrity, and availability of each type of log data must or should be protected while in transit, including whether a separate logging network should be used

Log storage and disposal(Log的儲存與輪轉)

1. How often logs should be rotated
2. How the confidentiality, integrity, and availability of each type of log data must or should be protected while in storage (at both the system level and the infrastructure level)
3. How long each type of log data must or should be preserved (at both the system level and the infrastructure level)46
4. How unneeded log data must or should be disposed of (at both the system level and the infrastructure level)
5. How much log storage space must or should be available (at both the system level and the infrastructure level)
6. How log preservation requests, such as a legal requirement to prevent the alteration and destruction of particular log records, must be handled (e.g., how the impacted logs must be marked, stored, and protected)

Log analysis( Log分析)

1. How often each type of log data must or should be analyzed (at both the system level and the infrastructure level)
2. Who must or should be able to access the log data (at both the system level and the infrastructure level), and how such accesses should be logged
3. What must or should be done when suspicious activity or an anomaly is identified
4. How the confidentiality, integrity, and availability of the results of log analysis (e.g., alerts, reports) must or should be protected while in storage (at both the system level and the infrastructure level) and in transit
5. How inadvertent disclosures of sensitive information recorded in logs, such as passwords or the contents of e-mails, should be handled.

市面常用的Log管理工具

https://www.pcwdld.com/free-syslog-servers-windows-and-linux

https://www.solarwinds.com/kiwi-syslog-server

如何調整Windows作業系統最佳稽核原則?