Раздел 10

Это один из тех вопросов, где нет правильного ответа о том, какой инструмент лучше - вы должны использовать любой инструмент, который подходит для вашей организации.

Существует множество как коммерческих, так и доступных инструментов с открытым исходным кодом, которые можно использовать для соответствия требованиям ведения журнала PCI. Сказав это, инструменты с открытым исходным кодом, на которые я смотрел недавно, не покрывают все требования PCI в базовых версиях, поэтому убедитесь, что вы узнали об этом. То же самое касается коммерческих инструментов, некоторые увидят, что встреча с PCI - это функция, которая доступна только в их предложениях более высокого уровня.

Основные требования, чтобы посмотреть на это:

• варианты сбора логов (push / pull / agent и т. д.)
• Варианты хранения - вам нужно как минимум 3 месяца в сети и год в общей сложности
• просматривать возможности - просмотр журналов каждый день не практичен, поэтому какие оповещения можно настроить для автоматизации?
• защита журналов - необходим некоторый мониторинг целостности (требование 10.5.5), чтобы гарантировать, что журналы не изменяются неосознанно

Ваш QSA вполне может дать вам дополнительные бонусные оценки, если ваш инструмент ведения журнала автоматически включится в ваш процесс реагирования на инциденты - того стоит, если он увеличит их доверие к вашим процессам!