Auditoría de registros y archivos

Navega tus respuestas
1

Estoy pasando por este cumplimiento de PCI por primera vez. Tengo algunas preguntas porque no está claro lo que esperan y quizás lo estoy pensando demasiado.

Pregunta 1: 10.3.1 a 10.7 Seguimiento de acceso

Se supone que debes iniciar sesión cada vez que un usuario eleva sus permisos para realizar una tarea y registrar qué tarea fue, quién fue, fecha y por qué.

¿Esto significa que todas las PC y servidores? ¿O es esto solo servidor? ¿O son solo las PC que tenemos en el centro de llamadas que aceptan la información de la tarjeta de crédito y el servidor con el que se comunican?

Pregunta 2: 11.5 Monitoreo de integridad de archivos.

¿Son solo las PC del centro de llamadas y el servidor con el que se comunican? o esto es todo? Obviamente, me gustaría tenerlo todo, pero eso es una gran cantidad de datos que se deben revisar todos los días. O mi cuenta Splunk necesita una actualización seria en los datos.

    
pregunta user2091722 31.10.2018 - 14:34
fuente

2 respuestas

4

El registro y la FIM deben estar habilitados en todos los sistemas dentro de los segmentos de red dentro del alcance. Si tiene un centro de llamadas, esto significará al menos los escritorios de los usuarios, así como los servidores que soportan la infraestructura. Idealmente, los agentes de servicio al cliente no tendrán perfiles administrativos en sus sistemas, por lo que la cantidad de registros que recibirá relacionados con la escalada de privilegios será limitada.

Si bien los agentes de Splunk recopilarán y enviarán registros para el análisis central, en realidad no es una solución de monitoreo de integridad de archivos. Puede usar software como OSSEC o Wazuh o implementar una funcionalidad similar usando el AppLocker de Microsoft que le permitiría incluir en la lista blanca las aplicaciones y monitorear los cambios.

    
respondido por el AndyMac 31.10.2018 - 15:37
fuente
0

¿Cómo estás configurando tu colección de registros? Puede usar algo como NXLog (hay una edición gratuita) que puede registrar este tipo de eventos de usuario (es decir, eventos de Security EventLog) y hay algunos módulos para la supervisión de la integridad de los archivos.

    
respondido por el NASAhorse 05.11.2018 - 16:33
fuente

Lea otras preguntas en las etiquetas

Riesgos de implementar un certificado de autenticación de servidor junto con una aplicación cliente ¿Farmacia en línea de WordPress? [duplicar]