摘要: 这里有两篇文章介绍了日志审计的重要性以及作用。现转载如下: [注]这应该是一个比较早(2006或2007)的文章了,因为Anton Chuvakin在08年就去了LogLogic,而现在他已经自己开咨询公司了。呵呵。不过此文作为SIEM/LM的普及文还...
这里有两篇文章介绍了日志审计的重要性以及作用。现转载如下:
[注]这应该是一个比较早(2006或2007)的文章了,因为Anton Chuvakin在08年就去了LogLogic,而现在他已经自己开咨询公司了。呵呵。不过此文作为SIEM/LM的普及文还是写的不错的。
日志数据可以是有价值的信息宝库,也可以是毫无价值的数据泥潭。要保护和提高你的网络安全,由各种操作系统、应用程序、设备和安全产品的日志数据能够帮助你提前发现和避开灾难,并且找到安全事件的根本原因。
当然,日志数据对于实现网络安全的价值有多大取决于两个因素:第一,你的系统和设备必须进行合适的设置以便记录你需要的数据。第二,你必须有合适的工具、培训和可用的资源来分析收集到的数据。
你不能分析你没有的东西
在你能够分析日志数据之前,你显然要收集数据。更重要的是,记录数据的程序或者设备要设置为收集你需要的数据。例如,微软的 Windows操作系统在“Event Viewer Security”(安全事件观察器)中能够检查到各种活动和日志信息。然而,在Windows 2000和XP中,安全检查功能并不是缺省启用的,Windows Server 2003缺省的安全检查设置也许不能满足你的需求。
对于Windows中的安全检查事件,你可以选择记录成功的尝试,或者记录失败的尝试。如果你仅选择记录失败的访问文件和文件夹的数据,记录的数据就不会显示这个文件是什么时候被成功破解的。如果你仅记录成功地访问一个用户账号的尝试,记录的数据就不会向你显示一个黑客50次没有猜对那个账号的用户名和密码。
无论你是在使用Windows操作系统还是任何其它的设备和程序,你必须花费一些时间和努力事先了解你拥有的安全日志功能,并且为你的需要恰当地设置好日志选项。虽然简单地把一切都记录下来似乎是合乎逻辑的,但是,监测和记录安全事件会给处理器增加工作负担并且要使用内存和硬盘的空间。你需要了解可用的日志选项,在记录一切和全不记录之间选择最佳的平衡点,以便记录对你有价值的数据。
信息过载
一旦你收集完日志数据,这个挑战就是如何有效地利用这些数据。位于新泽西州Edison的netForensics公司安全战略家Anton Chuvakin指出:“一旦技术合适和收集完日志,就需要实施一个监测程序并且评估行动中的陷阱和可能的升级。
网络和安全管理员经常花费时间建立日志数据收集,但是,他们没有处理这些数据或者没有现成的资源来监测和分析那些数据。因为没有人监测这些日志数据,有关网络侦察或者潜在的攻击的信息也许会被忽略而失去时效。
当安全事件发生时,查看日志数据也许可以确定事件发生的时间。但是,在很多情况下,需要查看的数据量太大,人们没有经过技术培训或者不会查看这些数据,有日志数据也没有意义了。
现在,有安全事件管理(SEM)应用软件等一些工具专门用于监测安全事件并且使用某些逻辑或者过滤器帮助管理员获取有意义的数据。然而,这些工具仍需要设置和恰当地使用才能有效率。人们要对过滤的数据有所了解并且采取措施。
收集堆积如山的事件日志数据,如果没有经过培训的人员和资源对这些日志数据进行监测和分析,就如同没有收集任何数据一样毫无用处。在本系列讲座的下一讲,我将提供一些技巧,帮助你了解这些日志数据的意义,并且使用这些数据保护你的网络和增强网络的安全。
日志数据在管理计算机或者网络方面是一种有价值的和实用的工具。事先监测日志数据以寻找可疑的活动迹象的能力或者在发生安全事件时分析日志数据是非常有价值的。
第一步是确保你的系统和设备进行了正确的配置,以便检查和记录事件。假设日志数据已经被捕捉和存储,你需要一个有效的工作流程来检查和分析这些数据。下面的一些建议可以向你提供一些指南并且确保你最有效和最充分地使用你的日志数据。
1.有规律地检查日志数据
虽然日志数据在安全事件发生时用作法院的证据是非常有效的,但是,如果有规律地分析这些日志数据,这种安全事件也许根本就不会发生。
应该建立一个工作流程,确定多长时间检查和分析一次收集到的日志数据。定期分析由整个网络中的各种应用程序和设备收集到的海量日志数据有助于找出和诊断故障,还可能发现正在进行中的攻击。
2.以开放的眼光查看日志信息
在分析日志数据时常见的错误是要具体找出已知的事件或者日志项。然而,日志数据中多数有价值的内容似乎存在于表面上很好或者正常的日志项目中。通过以开放的眼光检查这些日志项目,你也许会找到可疑的活动迹象。如果你仅仅查看错误信息,这种迹象很可能会漏掉。
如果把日志审查的重点放在查找已知的恶意活动方面,任何新出现的威胁或者对客户的攻击都会由于失察而漏掉。
3.通过一个透镜查看数据
整个网络中的设备和应用程序将收集日志数据。遗憾的是没有一种通用的格式或者方法来记录和显示事件的信息。
为了进行准确的比对,某种形式的转化便产生了,也就是对日志数据实施”正常化“。一旦数据压缩为通用的组件,就很容易把这个网络作为一个整体进行分析,而不是作为一个单独的日志项目进行分析。这样就可以更好地根据轻重缓急对发现的问题进行处理或者做出反应。
日志数据的处理是很困难的。日志信息中包含珍贵的钻石信息。但是,你需要挖掘很多泥土才能找到这些钻石。海量的日志数据使有效地利用这些数据成为表明上不可克服的挑战。然而,有SEM(安全事件管理器)等工具软件能够帮助你查找数据。但是,没有确定如何使用日志数据的流程,没有能够有效地分析日志数据并且对日志数据中发现的信息做出反应的经过培训的人员,这种工具将毫无用处。
http://yepeng.blog.ccidnet.com/blog-htm-do-showone-uid-324773-type-blog-itemid-13788831.html