資安之路 - Log 到底要記錄啥?

Log ,我到底要記錄什麼?


前言

最近筆者開始要準備上工,無意間接觸到「Log 記錄」的議題,於是開始著手研究它。

自從開始擔任顧問後,我的視角從單純的開發者,逐漸拓展至企業層面與內部人員的需求。

現在的我開始嘗試從「合規」與「導入實務」的角度切入,並歸納出一套可供初步參考的思維架構,針對不同企業規模與需求,逐步拆解背後的問題邏輯。


Log 優化


捫心自問時間

在正式進入「優化你我的 Log」之前,先來個捫心自問的時刻:

你的系統,有明確的合規要求嗎?
還是你只是希望讓 Log 記錄更清晰、好用、有效?😉


這兩種出發點,會直接影響你後續的 Log 設計邏輯與優先順序:

  • 合規導向的 Log,通常是為了滿足法規、稽核標準與保留期限的要求。這類設計需要強調操作可追溯性、角色辨識與完整性。

  • 優化導向的 Log,則更著重於開發與維運需求,包括除錯便利性、使用行為分析、效能監控,甚至強化異常偵測與安全預警的能力。


釐清需求,是打造良好 Log 記錄策略的第一步,也是你省下大量重構成本的起點。


法規 Review


接下來,我們就先針對「法規」的部分,先做進一步地釐清。

根據不同產業別,需要做的事情也會不同,筆者列出幾個跟「Log」有一些關聯的法規。


常見法規與內容說明

1. ISO 27001:2022 

適用機構:希望建立資訊安全管理系統(ISMS)並取得 ISO 國際認證的各類組織(如政府機構、金融業、科技業、醫療單位、雲端服務商等)。

條文相關內容:

8.15 存錄

紀錄活動、異常、錯誤及其他相關事件之日誌,應產生、儲存、保護及分析之。

2. 金融機構資通安全防護基準

適用機構:金融各類機構。

條文相關內容:

第四條、營運環境管理人員應符合下列要求:

五、除代登系統外於登入作業系統進行系統異動或資料庫存取時,應留存人為操作紀錄,並於使用後儘速變更密碼;但因故無法變更密碼者, 應建立監控機制,避免未授權變更,並於使用後覆核其操作紀錄。

八、加解密程式或具變更權限之公用程式(如資料庫工具程式)應列管並限制使用,防止未經授權存取並保留稽核軌跡。

九、最高權限帳號使用時應先取得權責主管或授權人員同意並保留稽核軌跡


第五條、個人資料保護應符合下列要求:

五、應針對核心資通系統及各類電腦系統建置留存個人資料使用稽核軌跡(如登入帳號、系統功能、時間、系統名稱、查詢指令或結果)或辨識機制,以利個人資料外洩時得以追蹤個人資料使用狀況

六、應建立資料外洩防護機制,管制個人資料檔案透過輸出入裝置、通訊軟體、系統操作複製至網頁或網路檔案等方式傳輸,並應留存相關紀錄、軌跡及證據。

七、如刪除、停止處理或利用所保有之個人資料後,應留存下列紀錄: (一) 刪除、停止處理或利用之方法、時間。 (二) 將刪除、停止處理或利用之個人資料移轉其他對象者,其移轉之原因、對象、方法、時間,及該對象蒐集、處理或利用之合法依據。


第七條、營運環境之實體安全應符合下列要求:

七、應具備與機房相當之操作環境,或獨立可管制人員操作系統及設備之監控室,該監控室應符合下列要求: (一) 應具門禁及監視設備,且必須留存連線及使用軌跡,並定期稽核管理。


第八條、營運管理應符合下列要求:

四、應留存相關紀錄並建立適當保護機制及管理程序,相關紀錄至少留存一年


第十六條、資訊安全事故管理應符合下列要求: 

一、應將各作業系統、網路設備、資安設備之日誌,及稽核軌跡集中管理,進行異常紀錄分析,設定合適告警指標並定期檢討修訂。

三、如有資訊安全事故發生時,其系統交易紀錄、系統日誌、安全事件日誌應妥善保管,並應注意處理過程中軌跡紀錄及證據留存之有效性。


3. 資通安全責任等級分級辦法

適用機構:適用於政府機關、公營事業、關鍵基礎設施提供者,以及主管機關指定的特定民間單位。

依據不同的系統防護需求等級,有不同的日誌相關規定。

其規範舉凡從日誌保留時間、記錄內容、失效回應都有規範。


筆者列出幾個重要的:

記錄事件:

一、訂定日誌之記錄時間週期及留存政策,並保留日誌至少六個月

日誌紀錄內容:

資通系統產生之日誌應包含事件類型、發生時間、發生位置及任何與事件相關之使用者身分識別等資訊,採用單一日誌機制,確保輸出格式之一致性,並應依資通安全政策及法規要求納入其他相關資訊。


詳細內容可以參考:

https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298115&lan=C


自問自答表參考

筆者把可以定位問題的思考方式自己整理成心智圖,整合法規與優化的自我提問版本,歡迎大家參考~





主要思考的模式是需要先了解:

1. 自己是誰?

2. 聚焦問題:我們這個 Log 要拿來幹嘛?

3. 我們在看什麼 Log?避免在這層級的 Log 去記錄不適合記錄的東西。

4. 注意個資相關的 Log 要遮罩。

5. 關鍵行為你能還原嗎?誰做了什麼事情?什麼時候?

6. 注意 Log 留存、備份、權限問題。


亂糟糟的重點整合心智圖

如果覺得真的很難一次問這麼多問題,可以參考以下心智圖的重點~





參考資源

ISO 27001:2022

金融機構資通安全防護基準

資通安全責任等級分級辦法

留言

張貼留言

這個網誌中的熱門文章

資安基礎惡補 - 網路篇 - DNS

圖片
DNS 使命 將域名解析為 IP 地址。 解析流程 客戶端查詢 (DNS Resolver) 當輸入某個 Domain name 時,瀏覽器會向系統的本地 DNS Resolver 提出請求。 本地 DNS 伺服器 (Recursive Resolver) 本地 DNS 伺服器接收請求,並會根據是否有緩存決定要從哪邊拿資料。總共會有以下情況: 有緩存:如果此前查詢過該域名,本地伺服器會直接返回緩存結果。 無緩存:迭代查找。 Root Server 在本地 DNS 伺服器請求 Root Server(如 . )後,Root Server 會告訴本地伺服器要查詢哪個頂級域名(TLD)伺服器。 TLD Server 在本地 DNS 伺服器查詢 TLD Server(如 .com )後,TLD Server 會返回權威伺服器 - Authoritative Server(如 ns1.example.com )。 權威伺服器 Authoritative Server 權威伺服器返回域名對應的 IP 地址。 Client 端接收 IP 本地 DNS 伺服器將結果返回給 Client 端,瀏覽器使用該 IP 地址與伺服器建立連接。 DNS 查找工具 - nslookup 我們可以使用 nslookup 來查詢 DNS 相關的訊息、域名與 IP 地址之間的對應關係。 從上方的資訊我們可以得知從非權威的 Server 中回傳了 domain name 和對應的 ipv4 address。 當然,如果想要使用公用的 google DNS 伺服器查詢 google.com 的位址,可以這麼做: 就會使用 Google 的公共 DNS 伺服器( 8.8.8.8 )查詢 google.com 。 不想用 DNS 可以怎麼做? 我們可以試著反向思考,假設我們不想使用 DNS Server,我們可以怎麼做呢? 1. 使用 Hosts 文件 以 MacOS / Linux 為例子,我們可以在 /etc/hosts 修改 IP 和域名的 mapping: 2. 自己輸入 IP 3. 使用靜態 IP 配置與 Nginx / Load Balancer 常見的 DNS Record 1. A   IPv4 地址記錄。  2. AAAA  IPv6 地址記錄。  3....
閱讀完整內容

SSL/TLS 協定知多少 - 基礎篇

圖片
前言 SSL / TLS ? 最近筆者剛轉職,正要進行第一個專案 👾 在某次 Sync 的會議中突然被問到: 舊版本的 SSL/TLS 為什麼危險,應該知道吧?  腦中突然浮現:「啊!之前在看 Microsoft 官方文檔確實有看到這塊,它建議升版 o.o」 好了,問題來了! 那更深層次的問題,以及如何清楚解釋,我知道嗎? 於是就有了這篇的誕生 ☺ 讓我們看下去吧! 為什麼過去的 SSL/TLS 舊版協定比較危險? 先聊聊什麼是 SSL/TLS SSL(Secure Sockets Layer)/  TLS(Transport Layer Security) 是一種用來 加密網路連線 的安全協定,用來確保你和網站之間傳輸的資料 不會被偷看、不會被竄改。 TLS 是 SSL 的後續版本,目前已發展到 TLS 1.3,具備更高的安全性與效能;舊版本如 SSL 3.0、TLS 1.0 和 1.1 已被淘汰,現代網站多採用 TLS 1.2 或 TLS 1.3 作為主流標準。 相關重點:SSL/TLS 握手(以 TLS 1.2 為例) 當 TLS 或 SSL 連線開始時,雙方會進行一個關鍵步驟叫做:「握手(Handshake)」。 這就像談戀愛前的「 確認彼此身分與溝通規則 」,要談情說愛之前,得先確定你是誰、我們怎麼講話、要不要加密、用哪種暗號(Cipher Suite)😇 握手的過程像是以下這樣: 關鍵澄清: 上方的圖片代表的是邏輯步驟,實際上這五個步驟不等於五個「RTT(Round Trip Time)」~ TLS 1.2 的實際 RTT 解釋如下:   在 TLS 1.2 中,完成一次完整握手大約需要「兩次往返(2-RTT)」的傳輸時間:  1. 第一個 RTT:  Client 發送 Client Hello(我支援這些 Cipher Suites)  Server 回應 Server Hello + 憑證 + Key Exchange + Hello Done  2. 第二個 RTT:  Client 發送 Client Key Exchange + Change Cipher Spec + Finished  Server 回應 Change Cipher Spec ...
閱讀完整內容

About Me - 關於我的一切

經歷 - 新創公司(供應鏈相關)一年半:Frontend Developer - 新創公司(DCIM)一年:Frontend Developer - 四大會計事務所:Senior Cybersecurity Consultant 創作相關背景 鐵人賽 - 第15屆 IT 鐵人賽 (優選): 從自建漏洞中學習 - 一起填坑吧! - 第16屆 IT 鐵人賽: 前端小廢物誤入 Hackthebox Module 出版書籍 - 究極 Web 資安心智圖學習法!嚴選12大主題 × 7張心智圖 × 7個實戰,核心技能無痛升級(iThome鐵人賽系列書):  天瓏書局網站   社群背景 - DevSecOps Taiwan:社群 Leader - 台科資安社:社員 正在準備的證照 - OSCP - 托福
閱讀完整內容