随笔
游侠随笔:日志管理类产品采购要点
因为公司业务的关系(思福迪,LogBase),最近走访用户几乎关注点都是日志管理、数据库审计、运维审计(堡垒机)。
在和客户沟通的过程中,发现运维审计一般都用的非常好,数据库审计用的一般,日志管理审计(包括SOC)用的非常差!下面针对用的最差的产品简单说几句吧:
标签: 日志审计
安全
用Syslog 记录UNIX和Windows日志的方法
在比较大规模的网络应用或者对安全有一定要求的应用中,通常需要对系统的日志进行记录分类并审核,默认情况下,每个系统会在本地硬盘上记录自己的日志,这样虽然也能有日志记录,但是有很多缺点:首先是管理不便,当服务器数量比较多的时候,登陆每台服务器去管理分析日志会十分不便,其次是安全问题,一旦有入侵者登陆系统,他可以轻松的删除所有日志,系统安全分析人员不能得到任何入侵信息。
因此,在网络中安排
安全
网管玩转日志分析 抵制外部入侵
如今各式各样的Windows漏洞层出不穷,五花八门的入侵工具更是令人眼花缭乱,稍微懂点网络知识的人都可以利用各种入侵工具进行入侵,这可给我们的网管带来了很大的麻烦,虽然经过精心配置的服务器可以抵御大部分入侵,但随着不断新出的漏洞,再高明的网管也不敢保证一台务器长时间不会被侵入,所以,安全配置服务器并不能永远阻止黑客入侵,而如何检测入侵者行动以保证服务器安全性就在这样的情况下显得非常重要。
随笔
网路游侠:给自己公司做点广告吧……发在微博的
有网管朋友问:如何知道Windows下,用户通过终端服务(RDP)对服务器进行了什么操作?——好,问到点子上了!游侠为您推荐思福迪LogBase运维安全审计系统(内控堡垒主机),不仅可以做RDP审计,还可以针对常用的PCAnywhere、RAdmin等进行审计。并且支持操作授权与阻断,强大的不行。
Linux、Unix、AIX、各种路由器、交换机,通过telnet进行管理,部分IDS支持
安全
从SIEM与IAM的应用系统集成看SOC与4A的整合 [转]
2009年9月1日Gartner发布了一份报告,叫做《SIEM与IAM技术集成》(SIEM and IAM Technology Integration)。(注释:SIEM即Security Information and Event Management,安全信息和事件管理;IAM即Identity and Access Management,身份和访问管理)在这份报告中,Gartner指出,“集成IAM和SIEM将有助于IAM的用户和角色管理能力,发挥SIEM的异常监视功能,提供比IAM自身更强大的审计能力。”Gartner一直将用户行为监视(User Activity Monitoring)作为SIEM的主要驱动因素。Gartner认为“用户行为监视对于威胁管理和合规管理都是十分重要的”。
...
系统
如何规划event log审计规则 [转]
不断跟踪你的系统正在做什么--这是良好的IT管理流程中最重要,但也是最乏味的一环。在审计过程中,与特定标准匹配的事件将记录到计算机的事件日志(event log)中,帮助你完成这个重要的管理任务。在本讲座中,我将讨论审计和事件日志,并且教你如何完成这个工作。
审计设置中的选项
审计控制和属性要通过Windows 2000、Windows XP和Windows Server 2003等操作系统中的组策略对象进行修改。假设你的计算机正在加入一个活动目录域,你可以在计算机配置->Windows设置->安全设置->本地策略->审计策略目录下面的默认域策略中找到域审计策略。此外,你还可以通过控制面板中的管理工具模板查看这个本地安全策略。
...
安全
转:如何选择一个LM产品做为信息安全的必备武器
有一篇来自英国的IT自由撰稿人写的博文,对日志管理(Log Management,LM)这个技术进行了一番自己的分析。可以说,全世界IT人士对LM的认识基本上都是一致的,包括对LM的作用、意义、技术架构和难点等。英国和美国的LM驱动力是类似的,那就是内控与合规。Kevin将合规分为三种类型:
1)法律要求的合规,就像是美国的SOX,国内例如刑七
2)商业领域的合规要求:就是行业规范,例如PCI-DSS,国内例如金融行业的内控指引,《企业内部控制规范》等;
3)政府领域的合规要求:就是政府的行政机构必须要遵守的合规性条款。例如英国的CoCo,当然美国有FISMA,中国的政府领域不仅包括行政机构,还有行政事业性单位,甚至国有企业,那就是等级保护了。
...
安全
转载:SIEM部署失败的五大原因
原文地址请点“这里”
TT安全上的这篇文章谈及了SIEM实施的负面问题,指出了四个可能存在的主要原因。实际上,这篇文章源自DarkReading在2010年9月27日发表的这篇文章《Five Reasons SIEM Deployments Fail》,是一个采访多位业内人士的综合报道。原文指出的是五个原因。第五个原因谈及的是“SIEM的伸缩性问题,尤其是事件采集和处理性能的问题”。
安全
网上找到的一篇不错的文章:SOC理解
游侠在2011年3月到思福迪(LogBase)之后,因为公司的业务重点问题,关注点开始转移到:日志管理综合审计系统、数据库安全审计系统、运维操作审计系统(内控堡垒主机),也经常在网上搜一些相关的资料。
这不是,搜到一篇不错的,原文是《SOC理解》,但是很可惜没找到作者,那在这里向原作者致敬了。正文开始:
1.在soc的用途方面大家理解上的偏差
系统
游侠原创:Evtsys--轻松将Windows日志转换为SYSLOG
我们知道,无论是Unix、Linux、FreeBSD、Ubuntu,还是路由器、交换机,都会产生大量的日志,而这些,一般会以syslog的形式存在。调试过防火墙、入侵检测、安全审计等产品的朋友应该对SYSLOG熟悉,如果您还不了解SYSLOG,请登录百度或Google查询。
系统
Linux服务器操作系统日志管理中的六大秘诀
合适的日志管理工具能大幅减轻管理企业系统日志数据的负担。但是,除非组织为这个工具投入一定的时间和精力,否则再好的工具也会很快变成一个差劲的工具。Diana Kelley为大家提供了6个确保成功的日志管理最佳实践。
门外汉用上了工具依然是门外汉
如果你不准备投入时间和精力在恰当地安装、管理日志管理工具上,那么就不要把钱浪费在日志管理系统上面。日志管理系统必须进行合理的配置,以
安全
证券行业日志审计需求分析,产品选型和实施建议
内控合规需求分析
当今的证券行业在IT信息安全领域面临比以往更为复杂的局面,日益迫切的信息系统审计和内控、以及持续增强的业务持续性需求,对证券行业的日志审计提出了明确的要求:
1) 《证券公司内部控制指引》第一百一十七条要求“证券公司应保证信息系统日志的完备性,确保所有重大修改被完整地记录,确保开启审计留痕功能”。
2) 证监会要求各证券单位“应建立对关键网络、安全设备和服务器日志定期检查和分析的制度。各单位应定期人工或采取软件分析方式对关键网络设备、安全设备和服务器日志进行检查和详尽的分析,通过定期对日志进行分析和总结,及时了解网络状况、设备运行状况,发现薄弱环节,及时整改,形成记录”。
...
安全
日志管理:信息安全的必备武器
有一篇来自英国的IT自由撰稿人写的博文,对日志管理(Log Management,LM)这个技术进行了一番自己的分析。可以说,全世界IT人士对LM的认识基本上都是一致的,包括对LM的作用、意义、技术架构和难点等。英国和美国的LM驱动力是类似的,那就是内控与合规。Kevin将合规分为三种类型:
1)法律要求的合规,就像是美国的SOX,国内例如刑七
2)商业领域的合规要求:就是行业规范,例如PCI-DSS,国内例如金融行业的内控指引,《企业内部控制规范》等;
3)政府领域的合规要求:就是政府的行政机构必须要遵守的合规性条款。例如英国的CoCo,当然美国有FISMA,中国的政府领域不仅包括行政机构,还有行政事业性单位,甚至国有企业,那就是等级保护了。
...