PCI DSSの要件10.6をどのように満たすのですか?
私が働いている会社はPCIコンプライアンスを申請しており、必要な手順とポリシーのほとんどを記述しています。問題は、私はITセキュリティの経験がないため、 PCI DSS に書かれているほとんどのことは、私にはあまり意味がありません。この質問の範囲を十分に小さく保つために、要件10.6に焦点を当てましょう:
すべてのシステムコンポーネントのログを少なくとも毎日確認してください。ログのレビューには、侵入検知システム(IDS)や認証、承認、アカウンティングプロトコル(AAA)サーバー(RADIUSなど)などのセキュリティ機能を実行するサーバーを含める必要があります。
そして対応するテスト手順:
10.6.aセキュリティポリシーと手順を入手して調査し、セキュリティログを少なくとも毎日確認する手順が含まれており、例外のフォローアップが必要であることを確認します。 
10.6.b観察とインタビューを通じて、すべてのシステムコンポーネントに対して定期的なログレビューが実行されていることを確認します。
- reviewログに対して、正確にはどういう意味ですか?
- 例外を構成するものは何ですか?
- 例外が発生した場合、企業は通常何をしますか?
まず、splunkのようなユーティリティをインストールして、すべてのログを1か所にまとめてレビューできるようにするのが最善です。システムログ、エラーログ、アプリケーションログ、W3ログ、AVログ、ファイアウォールログなど。それぞれを記録するすべての毎日のログレビューの新しいタイプのログを開始することもお勧めします。独自のログに対するその日のログのレビュー。すべてのログを毎日確認していることの証明が必要です。
ソフトウェアのインストールの失敗や成功など、発生しなかったイベントを探します。セキュリティを強化するために必要な領域を示す、AVまたはファイアウォールログによって明らかにされた攻撃。ソフトウェアのインストールまたは更新が成功したことを示すログエントリがある場合は、イベントが承認され、監視の下で発生したことを自分のログに記録する必要があります(PCI-DSS QAは、イベントを記録したことと発生したことを再確認しますあなたのコントロール下で)。
それらのライン(および他の多く)に沿って考え始めると、正しいアイデアが得られます。
ログを確認するということは、本質的にはログを読んで、攻撃やセキュリティリスクを構成する可能性のあるものを探すことです。一般的には、異常なものを探しています。さまざまなログフィルタリングツールを使用してこのアクティビティを支援したり、IDSログを確認している場合は重大度によってイベントに優先順位を付けたりすることができます。
この場合の例外は、通常のアクティビティパターンから外れたログです。彼らが言っているのは、単にログを確認して、その結果について何もしないことではないということです-異常なトラフィックを追跡する必要があり、ソースを調査しますそして原因。例外の調査によって意味のあることが判明した場合は、それに対処する必要もあります。通常、これにはイベントの文書化と軽減策の提案が含まれます。
基本的にこれのポイントは、潜在的な侵入の試みを積極的に監視していることを確認することです。
例として、DMZの境界にあるIDSがあるとします。 PCI-DSS 10.6.aに準拠するために、ログとアラートを少なくとも毎日読み、それらのソースを調査する必要があります。デバイスがポートスキャンを実行したことがわかります。これは、ドキュメント化する必要があり、それがどこから来たかを調査する必要があります。デバイスがアセットリストに含まれていないことがわかった場合は、ファイアウォールルールを追加してデバイスをブロックすることもできます。ただし、これは単なるoneの例であることに注意してください-PCI DSSは、あらゆる種類のイベントとログをカバーするために、意図的に曖昧にしています。