标签： 日志管理

　　概述

　　2010年5月13日，一年一度的Gartner安全信息和事件管理（SIEM）幻方图（魔幻象限/MQ）发布了。根据这份2010年的SIEM MQ显示，SIEM市场已经成熟，竞争越发激烈，并向中小企业市场渗透。同时，SIEM市场出现了明显的分化，有的新崛起的厂商势头强劲，而另一些厂商则反应迟缓，有的甚至出现了业务萎缩。此外，SIEM产品的表现形式也也越发多样性，有的依然是纯正的SI

　　刚给 游侠安全网 增加了新浪微博调用，欢迎大家“关注”游侠！

　　点这里直接进入游侠的微博：新浪 腾讯

　　上午接到Arbor郭庆的电话，介绍了下那边做

　　2009年9月1日Gartner发布了一份报告，叫做《SIEM与IAM技术集成》（SIEM and IAM Technology Integration）。（注释：SIEM即Security Information and Event Management，安全信息和事件管理；IAM即Identity and Access Management，身份和访问管理）在这份报告中，Gartner指出，“集成IAM和SIEM将有助于IAM的用户和角色管理能力，发挥SIEM的异常监视功能，提供比IAM自身更强大的审计能力。”Gartner一直将用户行为监视（User Activity Monitoring）作为SIEM的主要驱动因素。Gartner认为“用户行为监视对于威胁管理和合规管理都是十分重要的”。
...

　　不断跟踪你的系统正在做什么--这是良好的IT管理流程中最重要，但也是最乏味的一环。在审计过程中，与特定标准匹配的事件将记录到计算机的事件日志（event log）中，帮助你完成这个重要的管理任务。在本讲座中，我将讨论审计和事件日志，并且教你如何完成这个工作。

　　审计设置中的选项

　　审计控制和属性要通过Windows 2000、Windows XP和Windows Server 2003等操作系统中的组策略对象进行修改。假设你的计算机正在加入一个活动目录域，你可以在计算机配置->Windows设置->安全设置->本地策略->审计策略目录下面的默认域策略中找到域审计策略。此外，你还可以通过控制面板中的管理工具模板查看这个本地安全策略。
...

　　有一篇来自英国的IT自由撰稿人写的博文，对日志管理（Log Management，LM）这个技术进行了一番自己的分析。可以说，全世界IT人士对LM的认识基本上都是一致的，包括对LM的作用、意义、技术架构和难点等。英国和美国的LM驱动力是类似的，那就是内控与合规。Kevin将合规分为三种类型：

　　1）法律要求的合规，就像是美国的SOX，国内例如刑七

　　2）商业领域的合规要求：就是行业规范，例如PCI-DSS，国内例如金融行业的内控指引，《企业内部控制规范》等；

　　3）政府领域的合规要求：就是政府的行政机构必须要遵守的合规性条款。例如英国的CoCo，当然美国有FISMA，中国的政府领域不仅包括行政机构，还有行政事业性单位，甚至国有企业，那就是等级保护了。
...

　　原文地址请点“这里”

　　TT安全上的这篇文章谈及了SIEM实施的负面问题，指出了四个可能存在的主要原因。实际上，这篇文章源自DarkReading在2010年9月27日发表的这篇文章《Five Reasons SIEM Deployments Fail》，是一个采访多位业内人士的综合报道。原文指出的是五个原因。第五个原因谈及的是“SIEM的伸缩性问题，尤其是事件采集和处理性能的问题”。

SOC建设的失败原因
http://bbs.cisps.org/viewtopic.php?f=42&t=27306
------------------------------------
作者: wwanke [ 2011-03-23 21:59 ]
文章标题 : SOC建设的失败原因
------------------------------------
参加过一些SOC

　　游侠在2011年3月到思福迪（LogBase）之后，因为公司的业务重点问题，关注点开始转移到：日志管理综合审计系统、数据库安全审计系统、运维操作审计系统（内控堡垒主机），也经常在网上搜一些相关的资料。

　　这不是，搜到一篇不错的，原文是《SOC理解》，但是很可惜没找到作者，那在这里向原作者致敬了。正文开始：

　　1.在soc的用途方面大家理解上的偏差

我们知道，无论是Unix、Linux、FreeBSD、Ubuntu，还是路由器、交换机，都会产生大量的日志，而这些，一般会以syslog的形式存在。调试过防火墙、入侵检测、安全审计等产品的朋友应该对SYSLOG熟悉，如果您还不了解SYSLOG，请登录百度或Google查询。

　　合适的日志管理工具能大幅减轻管理企业系统日志数据的负担。但是，除非组织为这个工具投入一定的时间和精力，否则再好的工具也会很快变成一个差劲的工具。Diana Kelley为大家提供了6个确保成功的日志管理最佳实践。

　　门外汉用上了工具依然是门外汉

　　如果你不准备投入时间和精力在恰当地安装、管理日志管理工具上，那么就不要把钱浪费在日志管理系统上面。日志管理系统必须进行合理的配置，以

日志审计系统是“我要什么”   主要收集各类设备的日志：路由器、防火墙、交换机、数据库等的日志 主要基于agent、syslog、snmp trap等 主要面向合规中“审计”部分的要求 收集上来的一般是原始日志   相对而言，soc偏重运营、工单处理 是收集日志上来之后“我要怎么办” 如筛选日志审计系统中报警级别“高”以上的日志 一线监控提交给二线监控，做分析，或提交客户 主要...

随着企业规模的越来越庞大，我们的信息系统也越来越繁杂，那么，面对繁多的设备如何进行统一的安全审计？更何况还有的企业面临着合规（等级保护、萨班斯法案等）的压力！

　　Open Source SIM（OSSIM）代表开源信息管理。它的目标是提供一个全面、集成化的工具，允许网络/安全管理员详细浏览网络、主机、物理访问设备、服务器等的每一方面。

　　除了获取最知名的开源工具，它提供一个详细的可视化界面，包括高、中、低级别报警的视图。并且提供报告、时间管理工

　　有一篇来自英国的IT自由撰稿人写的博文，对日志管理（Log Management，LM）这个技术进行了一番自己的分析。可以说，全世界IT人士对LM的认识基本上都是一致的，包括对LM的作用、意义、技术架构和难点等。英国和美国的LM驱动力是类似的，那就是内控与合规。Kevin将合规分为三种类型：
　　1）法律要求的合规，就像是美国的SOX，国内例如刑七
　　2）商业领域的合规要求：就是行业规范，例如PCI-DSS，国内例如金融行业的内控指引，《企业内部控制规范》等；
　　3）政府领域的合规要求：就是政府的行政机构必须要遵守的合规性条款。例如英国的CoCo，当然美国有FISMA，中国的政府领域不仅包括行政机构，还有行政事业性单位，甚至国有企业，那就是等级保护了。
...