Куда я попал?
Цель: обеспечить корректное сопоставления времени регистрации событий с реальными моментами их возникновения для повышения эффективности анализа инцидентов, расследования инцидентов информационной безопасности и аудита.
Способы реализации:
Способы реализации:
- Использование NTP/SNTP - протоколы синхронизации времени (Network Time Protocol, Simple NTP).
- Централизованный источник времени - в организации выделяется один или несколько серверов времени (NTP-серверы), с которыми синхронизируются все узлы ИС
- Автоматизация синхронизации - настройка автоматического обновления времени при старте системы и с заданным интервалом.
Возможности некоторых продуктов:
- АПКШ Континент 3.7 - Включение/выключение протоколирования разных журналов (системынй журнал, журнал НСД, журнал сетевого трафика)
- Континент-АП + Сервер доступа 3.7 - АП - протоколирование подключений к серверу доступа в журнале соединений; СД - журнал событий.
Astra Linux Special Edition РУСБ.10015-01 - Синхронизация системного времени в информационной системе реализуется с использованием возможностей синхронизации системных часов.
Пример настройки службы времени chrony для Linux
1. Установка chrony:
1. Установка chrony:
sudo apt install chrony2. Настройка NTP-сервера в /etc/chrony/chrony.conf:
pool 2.pool.ntp.org iburst3. Запуск и включение сервиса:
sudo systemctl enable --now chronyd4. Проверка синхронизации:
timedatectl statusПример настройки для Windows
1. Откройте командную строку с правами администратора.
2. Выполните команду:
1. Откройте командную строку с правами администратора.
2. Выполните команду:
w32tm /config /manualpeerlist:"0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1" /syncfromflags:manual /reliable:yes /update3. Перезапустите службу времени:
net stop w32time && net start w32time4. Принудительно синхронизируйте время:
w32tm /resync5. Проверьте статус:
w32tm /query /statusНиже представлены адреса, являющиеся пулами: они указывают не на один сервер, а на динамический список ближайших доступных серверов времени, обычно имеющие stratum 2 и выше:
0.ru.pool.ntp.org
1.ru.pool.ntp.org
2.ru.pool.ntp.org
3.ru.pool.ntp.org
В доменной среде Active Directory, контроллер домена обычно выступает в роли источника времени для всех компьютеров в домене. Настройка происходит автоматически через групповые политики.
Рекомендации по использованию единого времени
- Используйте не менее 2–3 разных серверов для резервирования.
- Для корпоративных сетей настройте внутренний NTP-сервер, который будет синхронизироваться с внешними источниками, а все остальные устройства — с этим сервером.
- В доменной среде роль PDC Emulator должна быть настроена как основной источник времени для всей сети.
- Для повышения безопасности используйте только доверенные и известные NTP-серверы.
Рекомендации к заполнению карточки:
- Привяжите созданный актив типа групповые политики к данной защитной мере в качестве инструмента (если настройка осуществлялась на контроллере домена).
- Создайте шаблон регулярной задачи "Проверка корректности синхронизации системного времени с единым источником".
Область действия: Вся организация
Классификация
Тип
Техническая
?
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.