日志管理和或SIEM解决方案的关键要素

基于合规方面的要求，很多公司都会选择搜集和保存日志信息;但实际上，这些信息的真正价值远远超过了简单通过审核的需求。大部分IT专业人员和系统管理员习惯于对日志文件提供的信息进行分析，找出导致问题出现的原因。实际上，很多可用性监测工具的原理就是基于导致问题出现的根本原因经常会在事件流里找到这一前提的。

在过去十年里，事件监控工具中出现了一种新类型，可以对安全进行关注。与传统的可用性和性能监控工具相比，这些工具在功能方面有一定的重叠，但每类都有自己的特定优势。

在系统中心操作管理器(SCOM)中，很多客户对一个称之为审核收集服务(ACS)的相对新可选择模块产生了兴趣，因为，与我们提供的其它产品相比较，它更注重安全和日志管理等领域。

在本文中，我将试图勾勒出日志管理工具、安全信息和事件管理(SIEM)工具以及微软ACS之间的异同点。而在以后的文章中，我将对Arcsight的SIEM解决方案进行进一步的深入分析。

日志管理(LM)

日志管理是许多其它类型产品的基础。日志管理关注的重点是从不同类型的系统收集和保存日志文件，范围并不仅限于安全数据。通常情况下，日志管理并不涉及数据的内容和分析。一般情况下，将会有一套来自上游的系统来分析处理内容。不过，在实际工作中，很多日志管理工具都提供了可以进行分析的工具，只是在功能方面很少可以达到完整的SIEM产品能够提供的水平。ArcSight提供的记录器就属于这样的情况。

安全信息和事件管理(SIEM)

有些时间，它也被称做安全事件管理(SEM)或安全信息管理(SIM);通常情况下，SIEM关注的重点是对安全事件日志进行分析确认安全信息。

一般情况下，为了确保获得内容最全面的安全报告，SIEM都需要从各种不同类型的设备和平台上获取数据。这其中涵盖了交换机、防火墙、路由器、服务器(基于Windows、Unix、Linux等等)，以及应用程序(数据库、客户关系管理系统、企业管理解决方案、Exchange等等)。

接下来要做的工作就是对所有数据进行分析，寻找拒绝服务或者蠕虫病毒之类特定威胁存在的迹象。为了对这些类型的攻击进行确认，需要对来自不同设备的相关事件信息进行分析。由于不同类型的设备(即使设备来自相同制造商)采用了不同格式来记录时间，所以，确认事件是否存在相关性是非常复杂的工作。即使两台设备采用的是相同的数据格式，对它们的时钟进行同步处理，以便保证相关性分析有意义也是非常重要的。

对于SIEM解决方案来说，对多条事件流进行正常化处理，将数据格式与时间戳转换为和以前保存在数据库中的信息相同的标准化格式，属于必须的功能。在对数据进行了标准化处理后，就可以对相关性进行更精确的分析了。

对于SIEM产品来说，要么与日志管理产品共享使用界面，要么提供一些包含了基本日志管理功能的内置工具。为了提高SIEM的效率，Arcsight的企业安全管理解决方案(ESM)就为记录器提供了使用界面。

微软审核收集服务(ACS)

微软审核收集服务属于微软系统中心操作管理器里的组件，并且需要利用SCOM代理工具部署在哪些日志需要被收集的系统上。

微软ACS提供了日志管理器的部分功能以及SIEM的部分功能。从日志管理的角度来看，ACS可以从Windows设备上实时收集日志。从SIEM的角度来看，由于ACS收集的范围仅限于Windows安全事件日志中的标准化数据，是最低程度的。并且，作为操作管理器产品的组成部分，ACS提供了功能丰富的报告和通知功能。

对于某些尤其是已经部署了SCOM的公司来说，微软ACS属于非常合适的选择。但是，在诸如非Windows设备的支持等方面，目前它还是存在一定的局限性。

由于ACS不会从网络基础设施包含的设备里收集数据，因此，它不能象大多数典型的SIEM解决方案那样，利用模式匹配算法来识别蠕虫病毒和拒绝服务攻击之类的威胁。

注意事项

在为公司选择日志管理和或SIEM解决方案的时间，应该关注如下所示的关键因素：

·数据量和吞吐量方面的要求

需要进行监控的设备总量?

每秒发生事件的平均数量?

·存储方面的要求

通常情况下，每天/每周/每月/每年产生的数据量有多少?

·数据保存方面的要求

数据保存的期限为多长?有没有具体的监管要求?

·设备与应用支持情况

现在以及未来，解决方案需要为什么类型的设备和应用程序提供支持?

·法律方面对数据质量的要求

数据是否可以用于检控使用?

如果答案是肯定的话，是否存在规定的保管要求?

数据是否确实不可更改?

原文：http://tech.hexun.com/2011-06-03/130235198.html