無論是提高性能、收集商業(yè)情報還是檢測安全威脅，日志管理可以歸結(jié)為三個步驟：收集日志、存儲數(shù)據(jù)和分析數(shù)據(jù)來發(fā)現(xiàn)模式。然而，雖然收集和分析日志數(shù)據(jù)是SANS協(xié)會確定的20個關(guān)鍵安全控制之一，大多數(shù)企業(yè)并沒有定期收集和分析其日志，除非有法律明文規(guī)定。中培偉業(yè)《信息安全技術(shù)與信息安全管理體系(ISO27001認證》培訓(xùn)專家高老師指出，面對大規(guī)模數(shù)據(jù)，信息技術(shù)官很困惑，不知道從哪里開始。

高老師認為，良好的安全日志分析主要圍繞四個原則。首先，企業(yè)需要監(jiān)控正確的日志，包括來自防火墻、虛擬專用網(wǎng)絡(luò)(VPN)設(shè)備、web代理服務(wù)器和DNS服務(wù)器的數(shù)據(jù)。接下來，安全團隊必須收集企業(yè)網(wǎng)絡(luò)內(nèi)“正常”數(shù)據(jù)。第三，分析師必須能夠識別其日志文件中表明存在攻擊的數(shù)據(jù)。最后，安全團隊必須有一個程序用于響應(yīng)日志分析中確定的事件。

高老師表示，“如果你的安全團隊不知道可疑行為是什么樣子，那么把所有的日志都放到SIEM系統(tǒng)里是沒有意義的。”根據(jù)安全專家表明，企業(yè)應(yīng)該檢查下面五個類型的事件：

1. 用戶訪問異常

Active Directory域控制器的Windows安全日志和記錄是發(fā)現(xiàn)網(wǎng)絡(luò)中可疑活動的第一個位置。權(quán)限更改、用戶從遠程未知地點訪問，以及用戶訪問一個系統(tǒng)訪問另一個系統(tǒng)，都可能是可疑活動。

高老師表示，“當我們在看攻擊類型，以及攻擊者如何進入環(huán)境時，他們通常冒充用戶在網(wǎng)絡(luò)內(nèi)潛伏數(shù)月，甚至超過一年，通過查看正常活動基準，以及當前活動與基準的對比，就能找出可疑活動。”

尤其重要的是特權(quán)賬戶，即在網(wǎng)絡(luò)中多個系統(tǒng)具有管理員權(quán)限的用戶。由于這些賬戶在網(wǎng)絡(luò)中擁有更多的權(quán)利，企業(yè)應(yīng)該更密切地監(jiān)控這些賬戶。

2. 與威脅指標匹配的模式

公司還應(yīng)該對比其日志中的數(shù)據(jù)與他們能夠獲得的威脅指標--無論是通過建立黑名單，還是更全面的威脅情報服務(wù)。

威脅指標可疑幫助企業(yè)識別防火墻、DNS服務(wù)器或者web代理服務(wù)器日志中可疑的IP地址、主機名稱、域名和惡意軟件簽名。高老師指出：“web代理服務(wù)器日志對網(wǎng)絡(luò)流量有著強大的可視性，即你的端點系統(tǒng)是如何連接到網(wǎng)絡(luò)的。”

3.計劃外的配置變更

獲取對系統(tǒng)的訪問的攻擊者通常會嘗試更改配置來進一步攻擊，以及在網(wǎng)絡(luò)中獲得立足點。由于大多數(shù)企業(yè)限制配置更改到每周、每月或者每季度的有限時間內(nèi)，這些配置更改(無論是打開系統(tǒng)還是關(guān)閉日志記錄功能都可能表明攻擊正在進行中。

在某些情況下，這種分析可以幫助企業(yè)發(fā)現(xiàn)攻擊。用于管理安全產(chǎn)品的規(guī)則通常非常復(fù)雜，我們很難通過簡單的分析來檢查這些規(guī)則是否是惡意。相反地，安全團隊很容易標記出任何在特定維護期外的變更。

4. 奇怪的數(shù)據(jù)庫傳輸

因為數(shù)據(jù)庫是企業(yè)基礎(chǔ)設(shè)施的重要部分，企業(yè)應(yīng)該監(jiān)測數(shù)據(jù)庫傳輸情況來發(fā)現(xiàn)可疑活動。例如，試圖選擇和復(fù)制大范圍數(shù)據(jù)的請求應(yīng)該得到密切關(guān)注。

此外，監(jiān)控數(shù)據(jù)庫通信是不夠的。雖然記錄數(shù)據(jù)傳輸情況可能會影響數(shù)據(jù)庫性能，但在調(diào)查數(shù)據(jù)泄漏事故時，這些記錄是非常有價值的。

5.新設(shè)備用戶組合

在移動設(shè)備和攜帶自己設(shè)備到工作場所趨勢出現(xiàn)之前，企業(yè)可以將任何連接到網(wǎng)絡(luò)的新的設(shè)備視為可疑對象。但現(xiàn)在，這已經(jīng)不再是一個威脅指示。

想了解更多IT資訊，請訪問中培偉業(yè)官網(wǎng)：中培偉業(yè)