From M-21-31 to M-26-14: What US government agencies need to know now
TL;DR · AI 摘要
美国政府机构需适应M-26-14新规,转向基于风险和结果导向的网络安全日志管理,Elastic等AI平台可帮助满足要求。
核心要点
- M-26-14要求日志至少保留6个月且可搜索,替代旧版M-21-31。
- CISA将在90天内发布日志参考架构(LRA),机构需在之后90天制定计划。
- Elastic等AI驱动平台更适合满足新规要求,减少存储成本和工具碎片化。
结构提纲
按章节快速跳转。
思维导图
用一张图看清主题之间的关系。
查看大纲文本(无障碍 / 无 JS 友好)
- M-26-14新规
- 核心变化
- 日志保留6个月且可搜索
- CISA发布LRA
- 挑战与问题
- 旧版M-21-31的局限性
- 存储成本高、工具碎片化
- 解决方案
- 采用AI驱动平台如Elastic
金句 / Highlights
值得收藏与分享的关键句。
M-26-14要求日志至少保留6个月且可搜索,替代旧版M-21-31。
CISA将在90天内发布日志参考架构(LRA),机构需在之后90天制定计划。
Elastic等AI驱动平台更适合满足新规要求,减少存储成本和工具碎片化。
从 M-21-31 到 M-26-14:美国政府机构现在需要了解的内容 | Elastic 博客
从 M-21-31 到 M-26-14:美国政府机构现在需要了解的内容
作者:
Chris Townsend
2026 年 6 月 11 日
- 在 Twitter 上分享 在 Twitter 上分享
- 在 LinkedIn 上分享 在 LinkedIn 上分享
- 在 Facebook 上分享 在 Facebook 上分享
- 通过电子邮件分享 通过电子邮件分享
- 打印本页 打印
###### 执行摘要
M-26-14 为美国联邦机构的网络安全日志记录设定了新的合规基准,转向基于风险、以结果为导向的方法。已经使用统一、灵活且由人工智能驱动的平台(如 Elastic)的机构,更有能力满足备忘录的要求。由于 CISA 的指导文件尚未发布,现在是机构领导层评估当前能力、识别差距并制定优先行动计划的最佳时机。
2026 年 5 月 22 日星期五,管理与预算办公室(OMB)发布了 OMB 备忘录 M-26-14。这不是一次普通的政策更新;它完全废除了其前身 M-21-31,并重新定义了联邦机构对网络安全日志记录的思考方式。M-26-14 将联邦政府从以合规性为导向的分级模型,转向一个以结果为导向的框架,该框架适用于当今快速变化、人工智能威胁环境。如果你的机构尚未开始评估其影响,时间已经开始流逝。
对于公共部门而言,日志记录不是后台技术合规功能;它是任务弹性的基础。完整、可搜索且妥善保留的日志使你的团队能够在活跃的安全事件中回答最关键的问题:发生了什么?现在正在发生什么?接下来应该怎么做?当敏感的政府数据处于危险之中时,对这些问题回答缓慢或不完整将带来任务上的后果。
威胁环境的变化速度也比现有政策所能追踪的要快。人工智能驱动的攻击、云原生基础设施以及日益复杂的IT环境,已经超出了五年前 M-21-31 所建立的模型。M-26-14 是对这一差距的直接回应,也是对那些发现 M-21-31 的结构难以实施而不产生不可持续成本和工具碎片化的机构反馈的回应。
该备忘录还设定了一个加速的时间表。在发布后的 90 天内,CISA 必须发布一个日志参考架构(LRA)。一旦 LRA 发布,机构将有 90 天时间制定自己的初步日志计划。
M-21-31 与 M-26-14:发生了哪些变化?
M-21-31 为机构提供了一个有用的起点。分级模型确立了日志管理和存储的通用语言,推动集中式保留和安全信息与事件管理(SIEM)的采用,使许多组织取得了实质性的进展。
但机构也遇到了实际的问题:随着日志量的增长,存储成本高昂;工具孤立,使得跨系统分析变得困难;日志格式不一致,在调查过程中造成摩擦;以及遗留系统无法很好地适应分级模型。
M-26-14 直接解决了这些问题:
保留要求已被减少并重新定义。日志现在必须至少六个月“可主动搜索”,并至少一年可检索,而 M-21-31 的总保留时间是 30 个月(12 个月活跃,18 个月冷存储)。对可搜索性的强调非常重要;仅仅将日志存储起来是不够的。当调查需要时,它们必须易于查找和访问。
现在允许使用去中心化存储。机构可以利用联邦模型将去中心化数据连接起来,而不再强制将数据集中到一个存储库中。这反映了机构在云服务、本地系统、区域环境和任务特定网络之间实际的运作方式。虽然日志仍需对最高级别的SOC(安全运营中心)保持可访问性,但它们不需要全部存储在同一个地方。
在获得授权时,必须与联邦合作伙伴共享日志。机构在获得授权后,必须向CISA(网络安全和基础设施安全局)和FBI(联邦调查局)提供日志。这反映了现实情况:复杂的威胁不会尊重机构的边界,而协调的联邦响应依赖于互操作性和共享的情境意识。
成熟度模型已从零开始重新构建。M-21-31的EL0–EL3分级已被一个新的五级模型(“无效”到“最佳”)所取代,该模型基于五个要素进行评估:库存可见性、收集覆盖范围、收集操作、数据保留和日志管理。这是一个更加以操作为导向的框架,使机构能够在组件级别和整个企业范围内评估和报告进展。
合规时间表更严格,并与LRA(联合风险评估)挂钩。根据M-21-31,机构有一年时间达到EL1,18个月达到EL2,两年达到EL3,时间从备忘录发布日期开始计算。M-26-14将时间表重置为LRA发布日期,并显著压缩了时间窗口:120天内达到Level 1,180天内达到Level 2,320天内达到Level 3。机构还需在LRA发布后90天内,向OMB(管理与预算办公室)和CISA提交正式的机构日志计划。
物联网和操作技术明确在范围内。M-26-14将持续事件监控(CEM)和威胁狩猎、调查、响应和取证(THIRF)的要求扩展并统一,包括物联网设备和操作技术(OT)系统,包括那些没有原生日志功能的设备。LRA将包含针对这一内容的具体指导。M-21-31涉及了移动设备管理和一些OT的考虑,但并未以如此明确的指令来涵盖。
零信任对齐现在已成为结构性要求。LRA必须明确与CISA的零信任成熟度模型对齐,特别是可见性与分析的跨领域能力。M-21-31仅在加密数据处理的背景下提到了零信任原则。M-26-14将零信任对齐作为参考架构本身的设计要求。
合规周期并不在部署后结束。LRA将至少每年重新评估一次。每次更新都会触发新的义务:机构有30天时间更新其日志计划,并需在60至120天内重新达到成熟度等级。这使得M-26-14的合规性成为一项持续的操作性纪律,而不是一次性的认证努力——它强制实施持续监控和评估。
要求从规定性转向基于结果。M-21-31的附录C列举了数十种具体的日志类型、格式、关键级别和保留期限,适用于各个系统、平台和云环境。M-26-14将其替换为机构必须能够支持的11项以结果为导向的活动。换句话说,M-26-14的“什么”更为简单;“如何”由LRA定义,并由每个机构的日志计划实施。
M-26-14的操作重点:CEM和THIRF
M-26-14 围绕两个优先事项组织联邦日志记录:CEM 和 THIRF。CEM 和 THIRF 值得作为操作性学科来理解,而不仅仅是政策类别。
- 持续事件监控(CEM) 涵盖在您机构系统中对安全事件数据的持续收集、标准化、索引、分析和审查。实际上,它关乎保持一致的可见性。安全团队需要在复杂环境条件变化时,及时发现异常活动并加以控制。CEM 是一项全天候的学科,而非周期性审计。
- 威胁狩猎、调查、响应和取证(THIRF) 涵盖当某些事情看起来不对或已经出问题时,您的团队所进行的主动和被动工作。主动狩猎意味着在确认事件之前寻找入侵迹象。调查意味着重建事件在系统和来源中的发生过程。响应意味着基于上下文采取行动。取证意味着保留可辩护的记录,以支持事后的监督、法律审查和跨机构协调。
这两个优先事项是相互依赖的:CEM 确保了实现早期检测所需的可见性。THIRF 依赖于这种可见性是完整、可搜索且保留足够长的时间以发挥效用。两者缺一不可,且都需要统一的数据基础,而许多机构仍在构建这一基础。
M-26-14 的统一日志和安全平台
Elastic 在帮助机构与 M-26-14 的现代网络安全日志记录方法对齐方面具有独特优势。基于开放标准和分布式架构,Elastic 提供了一个安全的 FedRAMP(中等和高等)日志和安全平台,专为人工智能的速度而设计。尽管备忘录没有规定特定平台或技术,但其强调的基于成果的方法不仅与 Elastic 的技术能力相一致,还与 Elastic 在美国政府范围内的广泛合作伙伴关系相契合,包括 CISA。
可搜索的大规模数据
在技术层面,Elastic 解决了 M-26-14 所带来的核心矛盾:大量日志数据需要既经济地保留,又快速地搜索。Elastic 的基于策略的数据分层和生命周期管理功能使机构能够将活跃数据保留在活跃/“热”存储中用于调查,同时自动将较旧数据转移到成本更低的层级,而不会影响其可检索性。根据 ESG 的一项研究,从传统安全产品迁移到 Elastic Security 的组织报告称,总成本减少了 42% 至 56%。
分布式数据网格架构
Elastic 的数据网格架构也与 M-26-14 的去中心化存储模型直接契合。机构可以在云提供商、本地环境和任务系统中保留日志,同时授权 SOC 分析师获得集中搜索访问权限。这不是一个新概念;多年来,Elastic 一直为 CISA 的 CDM 仪表板运行类似的模型,覆盖了近 100 个联邦机构及其数据。对于机构领导者而言,这种方法意味着更少的强制数据迁移,以及在政策和技术演变时更多的灵活性。
统一的、由人工智能驱动的 CEM 和 THIRF
对于 CEM 和 THIRF 来说,拥有一个统一的搜索和分析层,覆盖监控、检测、调查和法医审查,可以减少在高压事件中因时间消耗而产生的操作摩擦。Elastic 不仅将 AI 作为附加功能进行操作化,还将其集成到 SOC 全生命周期中,作为可组合的能力协同工作。开箱即用的 AI 技能涵盖优先级排序、威胁狩猎、检测、实体分析和调查,并可根据工作流程需要相互调用或传递给外部 AI 代理。
检测工程也更加高效:分析师可以用自然语言描述威胁,系统会自动生成包含查询逻辑、严重性评级和 MITRE ATT&CK 映射的规则,直接用于审核、调整和部署。Elastic 不是向分析师提供大量独立的警报,而是将嘈杂的信号整合成清晰、优先级明确的攻击叙述。当需要采取行动时,响应功能将脚本自动化和工作流程(包括“人机协作”)与 AI 推理相结合,使团队能够快速行动而不牺牲问责性。
开放标准
对于政府环境而言,OpenTelemetry(OTel)的支持也非常重要,因为政府机构很少拥有统一的基础设施。原生的 OTel 集成意味着机构可以从各种来源(包括遗留系统、物联网设备和运营技术)收集日志、指标和跟踪信息,而不会引入另一个专有依赖项,从而增加未来架构决策的复杂性。这种标准化还促进了互操作性和安全数据共享,尤其是在机构需要与 CISA 或其顶级 SOC 共享日志时。
与 CISA 的 SIEM 服务集成
Elastic Security 为 CISA 的 SIEM 服务提供支持,使联邦行政部门(FCEBs)能够在不产生任何成本的情况下,利用 Elastic 的 AI 驱动的日志和安全解决方案。Elastic 将代理 AI 直接引入 SOC,通过优先处理威胁、丰富警报、利用检索增强生成(RAG)进行调查、实现自然语言威胁狩猎以及自动化集成和工作流程,为 SOC 提供支持。
机构现在应该采取的行动
在正式的 LRA 发布之前,机构领导者可以提出一些问题,这些问题将决定接下来的行动方向:
- 我们目前实际收集了哪些日志,存在哪些空白?
- 分析师能在多快的时间内搜索我们最关键系统中的信息?
- 我们能在不使成本变得不可持续的情况下保留多长时间的有用历史记录?
- 谁可以访问什么信息,依据什么权限,审计时是否能够证明这一点?
- 在获得授权时,我们能多快与 CISA 或 FBI 共享数据?
- 我们是否具备利用 AI 检测 AI 驱动威胁的能力?
最后一个问题并非只是理论上的。利用 AI 来加快行动并规避检测的威胁行为者不会因为机构还在处理架构决策而放慢速度。M-26-14 对 CEM 和 THIRF 的强调,部分原因在于现代威胁的操作节奏已经改变了“足够好”的日志记录的定义。
实现 M-26-14 合规的路径现在就已开始
M-26-14 为机构提供了明确的网络安全和日志管理方向。当前的工作正是为此做准备:评估差距、规划 LRA、制定日志治理策略,并做出能够应对下一代威胁的架构决策。
仅依靠数据平台无法完成所有工作;还需要治理、受过培训的分析师、有纪律的流程以及明确的权限作为前提条件。但一个现代且统一的日志基础架构可以使这些投资更加高效和有效。
将 M-26-14 视为合规性检查框的机构,当真正的运营需求到来时,将会发现自己处于劣势。而将它视为一个机会,用来构建真正持久解决方案的机构,则将在未来的威胁环境中占据更有利的位置。
今天就联系我们,了解 Elastic 如何帮助您更好地与 M-26-14 对齐,从而加强您的安全态势并应对当今的现代威胁。
本文中描述的任何功能或功能的发布和时间安排均由 Elastic 单方面决定。任何目前不可用的功能或功能可能无法按时交付,甚至可能根本不会交付。
在本博客文章中,我们可能使用或提到了第三方生成式 AI 工具,这些工具由其各自的所有者拥有和运营。Elastic 对第三方工具没有任何控制权,我们对这些工具的内容、操作或使用不承担任何责任或义务,也不对因使用这些工具而可能产生的任何损失或损害负责。在使用 AI 工具处理个人、敏感或机密信息时,请务必谨慎。您提交的任何数据可能会用于 AI 训练或其他目的。无法保证您提供的信息将被安全或保密地保存。在使用任何生成式 AI 工具之前,请务必了解其隐私政策和使用条款。
Elastic、Elasticsearch 及相关标识是 elasticsearch B.V. 在美国和其他国家的商标、标志或注册商标。所有其他公司和产品名称均为其各自所有者的商标、标志或注册商标。