随着联邦机构努力满足 2021 年发布的网络安全记录要求，政府的主要网络安全部门发布了一般指南，以帮助机构领导者优先考虑可能是昂贵且资源密集型实施的部分内容。

管理和预算办公室于 2021 年 8 月发布了一份备忘录，要求各机构创建和维护某些网络流量数据，这些数据在网络安全事件发生后可能会有用。

备忘录“提高联邦政府与网络安全事件相关的调查和补救能力”要求机构将网络安全事件日志存储至少 30 个月，并将完整数据包捕获日期或 PCAP 存储 72 小时。

后一种要求引起了网络安全专家的一些担忧，他们指出 PCAP 数据集很大这会导致数据存储成本高，而且通常对加密流量没有那么重要。

此外，在维护这些记录的 72 小时窗口内检测到安全漏洞的可能性很小，而且 PCAP 数据在取证方面的潜在价值并不总能证明其成本是合理的。

但根据授权，各机构需要实施 PCAP 并维护网络安全日志。

因此，网络安全和基础设施安全局制定了一份简短的指导文件，以帮助各机构确定实施的优先顺序，以有效地及时达到 OMB 审查的最低基线。

该指南已于 12 月提供给各机构，但预计将于周一公开发布。

该文件指出：各机构应就日志收集在何处最有利于改进网络安全事件检测和调查做出风险知情的决定。CISA 建议各机构优先考虑高价值资产 (HVA) 系统、高影响系统和企业 IT 网络。

CISA 建议将重点放在 Azure Active Directory 或 Active Directory 等身份提供者和可通过互联网访问的系统。例如 Web 应用程序以及定期与互联网交互的系统。

该文档提供了应优先用于日志的网络活动类型的分层列表，并提供了保持低 PCAP 数据大小进而降低成本的技巧。

机构可以通过过滤掉加密流量，传输层安全等，并仅在中心点收集 PCAP。例如，机构管理网络的第一层进出，该文件指出，承认捕获加密数据包只会为取证目的提供有限的信息，例如数据包的大小及其目的地，但不会提供其内容。

该文件还阐明，各机构无需破解加密即可合规。

虽然成熟度 2 级要求‘完整的数据包捕获数据：解密的明文和明文’，但表 3 的加密数据检查部分指出，‘如果机构不执行完整的流量检查，他们应该记录他们可用的元数据’ 。也就是说，如果一个机构实施解密功能，他们需要记录解密的数据包捕获。

除了该文件之外，CISA要求各机构将 PCAP 数据存储 72 小时的决定是为了平衡取证调查的价值与存储该数据的费用。

72 小时的保留时间意味着 PCAP 数据可用于为网络或基于主机的入侵警报的调查提供信息。例如，确认警报确实是恶意的，同时限制整体存储成本。 

发言人还指出了授权要求的其他事件日志的重要性，这些日志将至少保留 30 个月。

此外，[OMB 日志记录备忘录] M-21-31 要求的许多日志记录类型在事件响应中提供了重要价值，即使在 PCAP 不再可用的情况下，例如进程创建、用户登录、域名系统（ DNS）查询和防火墙日志。

该文件还简要介绍了在确定网络事件后机构将如何与 CISA 和 FBI 协调，包括为代理创建新的用户帐户。

当发生安全事件时，首席信息官将在机构环境中提供账户，并向 CISA 和 FBI 官员提供凭证，以与机构员工相同的方式授予数据访问权限。

CISA 希望在未来实现部分流程的自动化，包括“探索允许从机构外部查询数据的方法，或者允许机构不断向 CISA 发送数据的方法”，只要这些方法不'妨碍代理网络的性能。

优先列表

了解“收集和存储 72 小时 PCAP 的技术和操作障碍”后，CISA 提供了一个特定的、有序的优先级列表，列出了应该捕获的事件类型，以满足最低级别的政策合规性：

流程创建

远程终端或等效访问和注销（成功/失败）

系统访问和注销（成功/失败）

定时任务变更

服务状态变化（启动、停止、失败、重启等）

与其他主机的主动网络通信

命令行界面 (CLI)

PowerShell 执行命令

Windows 管理规范 (WMI) 事件

安装或删除存储卷或可移动媒体

域名系统 (DNS) 查询/响应日志

动态主机配置协议 (DHCP) 租用信息，包括媒体访问控制 (MAC) 地址、IP 地址

防火墙日志

Breakglass 帐户上的任何活动（永远不必使用）

AWS CloudTrail

Azure 活动目录日志

Azure Activity

统一审计日志（具有高级审计功能）

管理员审核

1. 1. 身份、凭证和访问管理 (ICAM)；特权 ICAM (PICAM) 事件类型，特别是：

2. 管理/跟踪属性和凭证的变化

3. 跟踪凭据的使用

5. 2. 操作系统（适用的 Windows/Linux/Mac）事件类型：

6. 3. 网络设备基础设施事件类型：

7. 4. 云环境（一般日志记录）：

8. 5. 亚马逊网络服务 (AWS) 事件类型：

10. 6. Cloud Azure

11. 7. Microsoft 365

12. 8. 谷歌云平台（GCP）

网络研究院

分析网络信息，深度研究数据。

公众号