随着联邦机构努力满足 2021 年发布的网络安全记录要求，*的主要网络安全部门发布了一般指南，以帮助机构领导者优先考虑可能是昂贵且资源密集型实施的部分内容。

管理和预算办公室于 2021 年 8 月发布了一份备忘录，要求各机构创建和维护某些网络流量数据，这些数据在网络安全事件发生后可能会有用。

备忘录“提高联邦*与网络安全事件相关的调查和补救能力”要求机构将网络安全事件日志存储至少 30 个月，并将完整数据包捕获日期或 PCAP 存储 72 小时。

后一种要求引起了网络安全专家的一些担忧，他们指出 PCAP 数据集很大这会导致数据存储成本高，而且通常对加密流量没有那么重要。

此外，在维护这些记录的 72 小时窗口内检测到安全漏洞的可能性很小，而且 PCAP 数据在取证方面的潜在价值并不总能证明其成本是合理的。

但根据授权，各机构需要实施 PCAP 并维护网络安全日志。

因此，网络安全和基础设施安全局制定了一份简短的指导文件，以帮助各机构确定实施的优先顺序，以有效地及时达到 OMB 审查的最低基线。

该指南已于 12 月提供给各机构，但预计将于周一公开发布。

该文件指出：各机构应就日志收集在何处最有利于改进网络安全事件检测和调查做出风险知情的决定。CISA 建议各机构优先考虑高价值资产 (HVA) 系统、高影响系统和企业 IT 网络。

CISA 建议将重点放在 Azure Active Directory 或 Active Directory 等身份提供者和可通过互联网访问的系统。例如 Web 应用程序以及定期与互联网交互的系统。

该文档提供了应优先用于日志的网络活动类型的分层列表，并提供了保持低 PCAP 数据大小进而降低成本的技巧。

机构可以通过过滤掉加密流量，传输层安全等，并仅在中心点收集 PCAP。例如，机构管理网络的第一层进出，该文件指出，承认捕获加密数据包只会为取证目的提供有限的信息，例如数据包的大小及其目的地，但不会提供其内容。

该文件还阐明，各机构无需 Po 解加密即可合规。

虽然成熟度 2 级要求‘完整的数据包捕获数据：解密的明文和明文’，但表 3 的加密数据检查部分指出，‘如果机构不执行完整的流量检查，他们应该记录他们可用的元数据’ 。也就是说，如果一个机构实施解密功能，他们需要记录解密的数据包捕获。

除了该文件之外，CISA要求各机构将 PCAP 数据存储 72 小时的决定是为了平衡取证调查的价值与存储该数据的费用。

72 小时的保留时间意味着 PCAP 数据可用于为网络或基于主机的入侵警报的调查提供信息。例如，确认警报确实是恶意的，同时限制整体存储成本。 

发言人还指出了授权要求的其他事件日志的重要性，这些日志将至少保留 30 个月。

此外，[OMB 日志记录备忘录] M-21-31 要求的许多日志记录类型在事件响应中提供了重要价值，即使在 PCAP 不再可用的情况下，例如进程创建、用户登录、域名系统（ DNS）查询和防火墙日志。

该文件还简要介绍了在确定网络事件后机构将如何与 CISA 和 FBI 协调，包括为代理创建新的用户帐户。

当发生安全事件时，首席信息官将在机构环境中提供账户，并向 CISA 和 FBI 官员提供凭证，以与机构员工相同的方式授予数据访问权限。

CISA 希望在未来实现部分流程的自动化，包括“探索允许从机构外部查询数据的方法，或者允许机构不断向 CISA 发送数据的方法”，只要这些方法不'妨碍代理网络的性能。

优先列表

了解“收集和存储 72 小时 PCAP 的技术和操作障碍”后，CISA 提供了一个特定的、有序的优先级列表，列出了应该捕获的事件类型，以满足最低级别的政策合规性：

1.身份、凭证和访问管理 (ICAM)；特权 ICAM (PICAM) 事件类型，特别是：

管理/跟踪属性和凭证的变化

跟踪凭据的使用

​2. 操作系统（适用的 Windows/Linux/Mac）事件类型：

流程创建

远程终端或等效访问和注销（成功/失败）

系统访问和注销（成功/失败）

定时任务变更

服务状态变化（启动、停止、失败、重启等）

与其他主机的主动网络通信

命令行界面 (CLI)

PowerShell 执行命令

Windows 管理规范 (WMI) 事件

安装或删除存储卷或可移动媒体

3. 网络设备基础设施事件类型：

域名系统 (DNS) 查询/响应日志

动态主机配置协议 (DHCP) 租用信息，包括媒体访问控制 (MAC) 地址、IP 地址

防火墙日志

4. 云环境（一般日志记录）：

Breakglass 帐户上的任何活动（永远不必使用）

5. 亚马逊网络服务 (AWS) 事件类型：

AWS CloudTrail

6. Cloud Azure

Azure 活动目录日志

Azure Activity

7. Microsoft 365

统一审计日志（具有高级审计功能）

8. 谷歌云平台（GCP）

管理员审核

记录标题/描述	处置指示
系统和数据安全记录。 这些记录与维护信息技术(IT)系统和数据的安全性有关。记录概述了保护和维护 T 基础设施的官方程序，并与它们所针对的特定系统相关。本系列还包括安全策略、流程和指南的分析，以及系统风险管理和漏洞分析。包括记录，例如: 1.系统安全计划 2.灾难恢复计划 3.运营计划的连续性 4.出版的计算机技术手册和指南 5.用于生成涵盖与特定系统和设备相关的安全问题的指南的示例和参考 6.灾难演习和由此产生的评估记录 7.网络脆弱性评估 8.风险调查 9.服务测试计划 10.测试文件和数据	暂时的。在系统被新迭代取代后 1 年或当机构T 管理目的不再需要时销毁，以确保安全控制在系统整个生命周期中的连续性。
计算机安全事件处理、报告和跟进记录。 根据 NIST特别出版物 800-61，计算机安全事件处理指南，修订版 2 (2012 年8月) 的定义，联邦*内部的计算机事件是违反计算机安全政策、可接受的使用政策或标准计算机的违反或迫在眉睫的威胁安全措施。此项目涵盖与企图或实际系统安全漏洞相关的记录，包括闯入 (“黑客”，包括Bing  Du 攻 ji )、人员使用不当、安全规定或程序失败以及可能受损的信息资产。它还包括机构对内部和外部此类事件的报告。包括记录，例如: 1.报告表格 2.报告工具 3.叙述性报告 4.背景文件 注意:任何重大事件(例如，重大系统故障或关键*数据泄露) 都必须记录在计划记录中，例如监察长办公室的记录，必须通过向 NARA 提交 SF 115 单独安排。	暂时的。在完成所有必要的后续行动后销毁 3年，但如果需要用于商业用途，则授权保留更长时间。