使用EventLog Analyzer的预定义报表,满足PCI要求10

PCI DSS要求10:跟踪和监控对网络资源和持卡人数据的所有访问。

PCI DSS要求10是最重要的PCI DSS合规需求之一,因为它直接解决网络安全和访问问题。这对IT部门而言是最重要的。此要求涵盖与网络资源和持卡人数据相关的所有用户活动。将监控网络上的每一个活动,且对网络的任何危害进行追踪,在系统活动日志的帮助下,找到确切的原因。

EventLog Analyzer的PCI合规报表帮助您的企业建立对PCI DSS要求10的合规性。使用涵盖网络上任何访问日志的报表,以及简明易懂的报表呈现界面,EventLog Analyzer的报表使PCI DSS合规变成了小菜一碟。

PCI DSS要求10.1:

这是什么?
确立将系统组件的所有访问权(特别是使用root等管理权限进行访问)链接到每个单独用户的过程。

需要做什么?
系统组件是网络的关键元素,对系统组件的任何更改都将影响到整个网络。对该要求的合规性将仔细记录对系统组件的每次访问,因此任何导致不利更改的活动,都能追踪到通过访问系统组件从而导致该更改的特定用户。该要求还重要跟踪管理用户的访问,因为管理用户做出的任何改动都可能造成严重影响网络的后果。

如何实现:
要符合此条款,所有对系统组件的访问都必须严密监控和跟踪。网络中所有用户的活动,特别是管理用户的活动,都需要处于雷达监控之下。使用这一数据,可隔离相关信息,并轻松建立PCI DSS要求10.1的合规性。

为实现此目的,EventLog Analyzer提供两个报表:

对象访问报表列出了访问特定对象的用户以及所使用凭证的详细信息。 从PCI DSS角度来看,这些数据非常有用,因为它包含关于对象访问所需的信息。筛选此报表以显示访问系统组件的用户,将提供在建立PCI DSS本条款合规性时最终所需的信息。

个人操作报表从不同角度显示了数据 - 网络上每个用户的活动。可以筛选报表以了解管理用户在网络上的活动,以及他们是否访问了系统级组件。这份报表支持从先前的报表收集数据。

PCI DSS要求10.2:

为所有系统组件建立自动评估线索,以重建以下事件:

需要做什么?
这一要求有助于加强父级要求的总体目标。尽管监控和跟踪系统组件的所有访问非常重要,但手动完成这一过程十分繁琐,并且存在瑕疵空间。为了规避这些缺陷,要求10.2谈到了两个条件

  • • 自动化跟踪访问的过程。
  • • 能够重建事件作为访问证明。

此要求有子条款详细说明了要达到完全合规而需要进行的操作。

PCI DSS要求10.2.1:

这是什么?
对持卡人数据的所有个人用户访问。

需要做什么?
毋庸置疑,对持卡人数据的所有用户访问都必须严密监控。要确保不会因人为错误而遗漏数据,则需要自动完成此过程。掌握了所有用户访问持卡人数据的所有信息将确保对PCI DSS要求10.2.1的合规性。

如何实现:
达到此要求的合规性与要求内容听起来一样简单:必须记录访问特定资源用户的所有访问,包括他们登录时执行的活动。

为了提供有助于确立此要求合规性的详细细节,EventLog Analyzer 提供了两个报表:

成功登录报表显示了成功登录网络的完整用户列表,包括他们访问的用户名、时间戳和资源等详细信息。利用所有这些信息,很容易得到所有访问网络安全区域的用户列表:PCI DSS要求10.2.1强制要求的信息

个人操作报表显示了每个用户所访问资源的数据。当进一步筛选报表以仅显示访问网络敏感资源的用户数据时,可以使用此数据来实现PCI DSS要求10.2.1的合规性。

PCI DSS要求10.2.2:

这是什么?
任何具有root或管理权限的个人执行的所有操作。

需要做什么?
管理用户拥有网络上重要信息的密钥。他们有权在网络中最敏感区域以最高的特权进行操作。为了确保管理用户对持卡人数据没有造成严重损害,并确保符合PCI DSS,要求对任何具有管理权限的用户执行的所有操作进行跟踪。

如何实现:
如果能够尽可能详细地记录由管理用户执行的所有活动,则可证明您的企业符合此要求。这包括但不限于用户名、资源的访问区域、在某一时间段内的更改和活动、用户花费的时间以及在该时间段内发生的变更和活动等数据。

EventLog Analyzer预先带有个人用户操作报表,可以帮助确立这一特定要求的合规性。此报表列出了每个用户使用其登录凭证执行的所有活动。筛选报表中的数据以仅提供管理用户的信息,并进一步缩小范围以仅显示对存储持卡人数据的关键区域的访问,则可以提取用于建立PCI DSS第10.2.2节合规性的必要信息。

PCI DSS要求10.2.4:

这是什么?
无效的逻辑访问尝试

需要做什么?
无论是简单普通的资源,还是像持卡人数据之类的关键资源,所有用户都需要登录到网络才能访问资源。成功的登录表明用户已经顺利且轻松地登录到网络。但是,无效的登录尝试(即使不是所有情况)也可能是尝试非法访问网络敏感区域的迹象。跟踪这些活动将会解除一些可能发生的威胁。如果有特定的用户更容易受到攻击,或者一些活动仅在特定时间发生,则对此类活动进行趋势检查也很重要。

如何实现:
在此要求的规定下,需要记录所有的无效访问尝试,且必须自动完成此过程以避免人为错误的出现。此外,登录成功和失败的信息将有助于验证数据,因为这两个事件是相互排斥的。

为了提供有助于建立此要求合规性的所有上述细节,EventLog Analyzer提供了两个报表:

登录尝试报表列出了网络上的所有登录活动,并可将不成功的登录尝试与该数据隔离。进一步研究此报表可以得出很多详细信息,例如在哪一特定时间使用哪个用户名未能成功访问网络资源。

成功登录报表显示了成功登录网络的完整用户列表,包括他们访问的用户名、时间戳和资源等详细信息。此信息将提供有助于根据“登录尝试报表”验证数据的详细信息。这将进一步加强您对PCI DSS要求的合规性。10.2.4.

PCI DSS要求10.2.6:

这是什么?
评估日志的初始化

需要做什么?
评估日志是网络上任何活动的常设证据,在跟踪敏感资源的管理活动时,这些日志中包含的信息至关重要。清除审计日志将永久破坏任何访问内容的证据。因此有必要对审计日志清除进行跟踪,并且用户必须对每个评估日志清除操作负责。另外,必须确保不是每个人都有权执行这一敏感任务;该权力必须仅限于网络中的高层管理人员。

如何实现:
在适当的位置建立一个过程,自动记录与每个单独评估日志清理相关的全部数据。这一数据必须完整,有用户名和时间戳。

EventLog Analyzer具有专门迎合此需求的现成报表:已清除审计日志报表。该列表会列出清除审计日志的用户以及发生该特定事件的时间戳。该报表提供的信息有助于建立您的企业对PCI DSS要求10.2.6的合规性。

PCI DSS要求10.2.7:

这是什么?
系统级对象的创建和删除

需要做什么?
系统级对象是控制系统功能和网络的概念性实体。尽管有必要监控对系统级对象的所有访问,但是像创建和删除这些对象之类的重要任务需要额外的关注。从PCI DSS角度而言,考虑到系统级对象的重要性,因此要求必须限制对这些实体的访问,且必须严密监控此类对象访问者的活动。

如何实现:
确保所有活动都不会脱离警惕的最重要方法是记录系统级对象上的所有活动以及所有必要的数据,如访问此类对象的用户、用户权限和时间戳。所有这些数据可以进一步精确调查,以确定是否存在系统级对象的创建或删除。

EventLog Analyzer包含的对象访问报表将在这方面派上用场。这一对象访问报表列出了网络上的所有对象以及访问它们的用户。这一报表的细节更详细,将显示每个用户的确切活动。通过仅分离报表上的系统级对象,并获取这些对象上的活动,可以获取证明PCI DSS要求10.2.7合规性所需的必要数据。

PCI DSS要求10.5:

保护评估线索,使其无法被更改。

评估线索是在基于日志的基础架构上任何活动的常设和确凿证据。改变日志意味着网络访问和活动的基本证据将永久丢失。从安全的角度来看,这是一个严重的漏洞,因为评估线索的任何变化都会使安全漏洞变得难以追查。从PCI DSS的角度和持卡人数据安全性来看,评估线索的改变意味着任何篡改持卡人数据的人都可能在不被发现的情况下悄悄溜走。因此,为了确保持卡人数据的安全以及对所有活动的轻松追踪,PCI DSS要求不得改变评估线索。PCI DSS要求10.5在两个层级上阐述了这一点:

  • • 限制查看评估线索
  • • 保护评估线索,使其不受未授权的查看

这些要求在10.5要求的小节中进行了详细阐述

PCI DSS要求10.5.1:

这是什么?
限制查看具有工作相关需求的那些人的评估线索。

需要做什么?
正如我们多次提到,评估日志是所有活动处于安全保护下的网络中的重要对象。考虑到它包含重要信息,PCI DSS要求将查看这些文件的访问权限仅限于某些有工作需要的管理用户。这将确保评估线索的最高安全级别,并缩小对任何事故负责的用户范围。

如何实现:
虽然可能有权限和其他访问控制方法来掌控谁可以和谁不能访问评估线索,但同样重要的是,能够向审计人员证明这样的系统确实存在。

EventLog Analyzer及其对已清除审计日志的对象访问报表可帮助您证明您的企业对PCI DSS的合规性。此报表将提供有权访问评估线索的用户的数据,并将该数据与贵企业的访问控制策略相关联。这可以向审计人员证明,只有具有与工作有关需求的用户才有权访问评估线索,且没有其他人访问过此资源。

PCI DSS要求10.5.2:

这是什么?
保护评估线索文件,防止未授权的修改

需要做什么?
这一要求是对前一要求的扩展 - 10.5.1要求阐述了查看评估线索,此要求则扩展了对未授权修改的限制。此报表将封锁任何可能接近评估线索的安全威胁。作为10.5.1要求的扩展,此要求进一步保护评估线索不受有权对其进行查看的人员的更改。

如何实现:
本节的合规性可通过两个阶段来建立。第一阶段是证明没有未授权的人员访问过评估线索,因而可以确定没有更改受过影响。第二阶段是证明任何访问评估线索的用户都已获得执行此操作的授权,包括被授予特权的任何新用户。

为了提供有助于建立此要求合规性的所有上述细节,EventLog Analyzer提供了两个报表:

如前所述,对象访问报表将给出访问过网络对象的用户的详细信息。通过筛选访问过评估线索的用户,可以获得证明符合PCI DSS第10.5.2节的必要列表。

审计政策更改报表显示是否有新用户被授权访问评估日志数据。此报表将有助于验证对象访问报表中的任何新条目。

通过这些可以准确建立PCI DSS要求10合规性的综合报表,只需轻点几下即可建立贵企业的合规性!

展开