标签： 日志审计

随着企业网络设备的增多，来自各个设备的日志也像洪水一样每天不断的冲击着IT部门的管理人员，因此，企业开始通过安全信息和事件管理(SIEM)方案来帮助管理如此大量的日志信息，同时通过这个方案来分析每一份日志，发现其中指示的安全问题。但是要成功的实施一套SIEM方案并不是简单的事情。接下来我们就来看看该如何考察一个SIEM产品并对方案实施给出一些建议。 什么是SIEM? SIEM实际上是两类产品的集合...

基于合规方面的要求，很多公司都会选择搜集和保存日志信息;但实际上，这些信息的真正价值远远超过了简单通过审核的需求。大部分IT专业人员和系统管理员习惯于对日志文件提供的信息进行分析，找出导致问题出现的原因。实际上，很多可用性监测工具的原理就是基于导致问题出现的根本原因经常会在事件流里找到这一前提的。 在过去十年里，事件监控工具中出现了一种新类型，可以对安全进行关注。与传统的可用性和性能监控工具相比，...

2012年5月初，SANS发布了2012年度的第八次日志与事件管理调查报告。本次调查的受访对象超过了600名专业人士，涵盖了各行各业，超过一半来自大中型企业。 调查问题1：收集日志的原因是什么？ 结果分析：82%的人认为最关键的原因是“检测/追踪来自内部/外部的可疑行为”；65%的人认为最关键的原因是“取证与关联分析”；58%的人认为最关键的原因是“阻止突发事件”。以上三种原因分列前三位。而201...

近日，某站长在使用日志宝分析日志时发现，一些可疑IP地址会定期对网站第三方接口产生大量访问，影响了网站正常业务的运行。日志宝安全团队在与该站长进行沟通后判定这是一次典型的CSRF攻击。 针对此次攻击事件，日志宝安全团队发布了《日志宝-CSRF攻击案例分析报告》： 事件背景： 1、 站长在使用日志宝进行日常分析时发现，该IP地址在top20统计中的访问量明显高于第2位的IP地址访问量，并产生出大量异...

网路游侠：现在公司做日志管理综合审计系统，于是有些朋友会问我：产品有什么功能？……于是游侠还是跑到百度文库，找到了这个文档——日志管理综合审计产品的功能基本都在这了： 日志管理综合审计系统·系统要求 求为一个完整的软硬件一体化的日志审计系统；无需用户另行提供服务器、操作系统、数据库、防火墙软件及用户手动升级系统补丁; 系统基于嵌入式linux系统内核开发。 设备部署：提供旁路接入模式，设备部署不影...

网路游侠：最近身边有一些朋友在找日志审计、日志管理产品的需求，其实需求也就是常见产品的功能清单，也基本是用户在采购中需要注意的一些事项。不大想自己写了，就从百度文库找了一篇现成的文档。当然，功能描述的比较中性，很多厂家的都可以满足。在这里贴给大家看： 一、总体要求 支持对主流操作系统、数据库系统、应用软件系统、网络设备、安全设备进行自动采集。 支持SYSLOG和OPSEC LEA标准日志协议，能通...

由《信息安全与通信保密》杂志社主办的"中国信息安全发展趋势与战略"高层研讨会在北京梅地亚中心召开，思福迪公司参会，且思福迪的Logbase日志管理综合审计系统一举夺得最受用户欢迎的安全审计品牌奖。 本次大会作为信息安全界年内最为权威、知名的高端会议，来自国家有关部委、各级政府、军队、公安、金融、证券、社保、教育、电信、电力、能源、媒体等单位以及国内外从事信息安全研究、开发的科研单位及大专院校代表参...

游侠点评：由于APT的增多，而此类攻击多数针对数据库，因此数据库成了防护重点，包括数据库扫描评估、数据库加固、数据库审计、数据库权限分配、数据库加密等，开始日益盛行；同样的，针对APT攻击，普通的单设备防护很难及时发现。因此SIEM的“联动”方案，成为发现APT攻击的首选解决方案。还好，游侠公司就做这个，是不是以后会更忙？哈。 迈克菲最新发布的《2012年风险与合规展望》报告 (Risk and ...

游侠点评：此前SIEM在国外应用比较多，如今国内一些信息化建设较好的单位（如电力、运营商、银行等）也开始加大了SIEM类产品的建设力度。当然有的选择了SOC、MSS，不过还是属于SIEM的大范畴。而针对众多企业，显然SIEM更加合适，因为更轻量级、部署更快捷。 迈克菲推出一套独创的具备出色状态感知和准确性的创新安全信息与事件管理 (Security Information and Event Ma...

你的应用程序代码已经经过了审查和漏洞扫描，同时，在线的应用程序都是经过渗透测试并放置在防火墙后端的。纵深防御策略意味着你的网络上也会有各种安全控制措施，从而加强全面保护。 随着时间的推移，网络在不断扩大，它需要更多的保护措施，因此随着技术的出现或改善，你已经添加了新的安全措施。但你如何监控你的应用程序环境，以确保它仍然是兼容的？ 在运行多个对策过程中很容易出现的一个问题是，每个安全产品通常会产生一...

　　在大型网络中，我们需要对各类设备，如路由器、交换机、防火墙、Windows/Linux服务器、数据库等进行统一的运维日志管理，以及时了解网络的运维状况。

　　有朋友问：VMware支持syslog外发吗？这个——当然支持！

　　VMware ESXi 5默认支持syslog的转发。用VMware vSphere Client（当然，你登录的账号要有响应权限，默认root是有的）登录

随着信息化应用的深入，面对日益严重的安全威胁，为了保障业务连续性和安全性，信息安全管理者需要动态可视的整体安全监管解决方案。在这一背景下，基于新一代内容安全技术核心的LOGBASE日志管理综合审计系统应运而生。

　　因为公司业务的关系（思福迪，LogBase），最近走访用户几乎关注点都是日志管理、数据库审计、运维审计（堡垒机）。

　　在和客户沟通的过程中，发现运维审计一般都用的非常好，数据库审计用的一般，日志管理审计（包括SOC）用的非常差！下面针对用的最差的产品简单说几句吧：

　　在比较大规模的网络应用或者对安全有一定要求的应用中，通常需要对系统的日志进行记录分类并审核，默认情况下，每个系统会在本地硬盘上记录自己的日志，这样虽然也能有日志记录，但是有很多缺点：首先是管理不便，当服务器数量比较多的时候，登陆每台服务器去管理分析日志会十分不便，其次是安全问题，一旦有入侵者登陆系统，他可以轻松的删除所有日志，系统安全分析人员不能得到任何入侵信息。

　　因此，在网络中安排

　　如今各式各样的Windows漏洞层出不穷，五花八门的入侵工具更是令人眼花缭乱，稍微懂点网络知识的人都可以利用各种入侵工具进行入侵，这可给我们的网管带来了很大的麻烦，虽然经过精心配置的服务器可以抵御大部分入侵，但随着不断新出的漏洞，再高明的网管也不敢保证一台务器长时间不会被侵入，所以，安全配置服务器并不能永远阻止黑客入侵，而如何检测入侵者行动以保证服务器安全性就在这样的情况下显得非常重要。