Para tener un registro de auditoría seguro, piense en integridad y disponibilidad , dos características de seguridad según la tríada de seguridad de la CIA.
- Integridad del registro de auditoría
Todos los datos escritos en el registro, una vez escritos, deben ser Sólo lectura. . Los datos NO deben poder ser modificados por cualquier usuario si se confía en el registro para fines forenses. El acceso a los registros de auditoría se debe controlar estrictamente según sea necesario, según la regla de seguridad de los privilegios mínimos. Lo ideal es que el registro de auditoría se almacene en una ubicación segura, como un servidor de registro dedicado. El acceso de escritura debe estar restringido solo a la cantidad mínima de usuarios, como solo a los usuarios de un determinado grupo de Active Directory. El acceso de lectura debe estar restringido de manera similar.
Para detectar cambios en un registro, se puede aplicar una función de hash criptográfica a las entradas de registro anteriores, de modo que cualquier manipulación alterará el hash y hará que no sea posible detectar la manipulación.
- Disponibilidad de registro de auditoría
Los datos de registro de auditoría deben conservarse durante un período de tiempo específico, dependiendo de la clasificación de sensibilidad de los datos de la fuente subyacente desde donde se generan los registros. Lo ideal es que las copias de seguridad de los registros se almacenen fuera del sitio, de modo que si ocurre un desastre, las copias de seguridad de dichos registros tampoco se destruyan.
Si los registros se almacenan de forma centralizada en un servidor de registro, se pueden usar herramientas como la limitación de la velocidad del cliente, el filtrado de paquetes para mitigar los ataques de DOS o DDOS.