服务器日志和 Splunk -PCI-DSS 中的卡数据

Posted

技术标签:

【中文标题】服务器日志和 Splunk -PCI-DSS 中的卡数据【英文标题】:Card Data in server logs & Splunk -PCI-DSS 【发布时间】:2017-01-01 13:06:41 【问题描述】:

我对存储在 Splunk 中的日志有一点问题。按照 PCI-DSS 的规定,服务器、数据库和日志应该每季度扫描一次,以防发现任何卡数据,如果发现,文件应该被销毁。在我们使用 cardrecon 扫描后,我们发现一些 PAN 存储在服务器的日志文件中并删除了这些文件。但是 Splunk 也存储了这台服务器的日志,根据 PCI-DSS,存储在 Splunk 等上的日志不能被编辑或删除。您能否告诉我如何处理这些日志,或者这种情况是否不符合 PCI-DSS。 (顺便说一下,卡数据只包括 PAN。)

谢谢

【问题讨论】:

【参考方案1】:

在要求 10.5.3 中它说

及时将审计跟踪文件备份到集中式日志服务器或 难以更改的媒体。

“困难”不等于“不可能”。 ;-)

换句话说:如果您获得授权,您可以更改日志(例如屏蔽 PAN)。当然,在做类似的事情之前最好和你的审计员核实一下。 并确保这种情况(PAN 的记录)不会再次发生,例如通过使用 syslog-ng 的重写功能或类似的东西。

【讨论】:

谢谢,我们将确保不会再次发生这种情况 :) 我理解您的建议,如果我们可以/应该编辑已记录的日志,最好与我们的 QSA 核对是吗? 是的。我们遇到了类似的问题并涉及了我们的 QSA。结果他没有被逗乐,但我们被允许在他观看时更改条目,并写了一个记录以验证没有其他任何内容被更改。这不是处理事情的最佳方式,但比不加掩饰 PAN 更好。

以上是关于服务器日志和 Splunk -PCI-DSS 中的卡数据的主要内容,如果未能解决你的问题,请参考以下文章

初学Splunk

ECS Splunk 日志被 splunk-format raw 截断

Splunk 基本使用

Splunk入门体验

Splunk使用记录

Splunk简介,部署,使用