Richten Sie als Best Practice im Hinblick auf die Sicherheit Überwachung und Protokollierung auf dem vRealize Automation-System gemäß den Empfehlungen für VMware ein.

Remoteprotokollierung auf einem zentralen Protokollhost bietet einen sicheren Speicher für Protokolldateien. Mit dem Erfassen von Protokolldateien auf einem zentralen Host können Sie die Umgebung mit einem einzigen Tool überwachen. Darüber hinaus können Sie eine Aggregatanalyse durchführen und nach Hinweisen auf Bedrohungen wie koordinierte Angriffe auf mehrere Entitäten innerhalb der Infrastruktur suchen. Die Protokollierung auf einem sicheren, zentralisierten Protokollserver kann das Verhindern von Protokollmanipulation unterstützen und bietet außerdem eine langfristige Prüfungsaufzeichnung.

Sicherstellen, dass der Remote-Protokollierungsserver sicher ist

Nachdem Angreifer die Sicherheit des Hostcomputers verletzt haben, versuchen diese oft, nach Protokolldateien zu suchen und diese zu manipulieren, um ihre Spuren zu verdecken und die Kontrolle zu behalten, ohne entdeckt zu werden. Durch das Sichern des Remote-Protokollierungsservers wird entsprechend die Verhinderung der Manipulation von Protokollen unterstützt.

Verwenden eines autorisierten NTP-Servers

Stellen Sie sicher, dass alle Hostmaschinen dieselbe relative Zeitquelle, einschließlich des relevanten Lokalisierungsoffsets, verwenden und dass Sie die relative Zeitquelle auf einen vereinbarten Zeitstandard wie z. B. die koordinierte Weltzeit (UTC) korrelieren können. Mit einem disziplinierten Herangehen an Zeitquellen können Sie schnell Aktionen eines Eindringlings nachverfolgen und korrelieren, wenn Sie die relevanten Protokolldateien überprüfen. Bei falschen Zeiteinstellungen kann es schwierig werden, Protokolldateien zur Erkennung von Angriffen zu untersuchen und zu korrelieren. Dies kann zu ungenauen Ergebnissen bei der Überprüfung führen.

Verwenden Sie mindestens drei NTP-Server von externen Zeitquellen oder konfigurieren Sie einige lokale NTP-Server auf einem vertrauenswürdigen Netzwerk, die wiederum deren Uhrzeit von mindestens drei externen Zeitquellen erhalten.