标签： 日志审计

　　有网管朋友问：如何知道Windows下，用户通过终端服务（RDP）对服务器进行了什么操作？——好，问到点子上了！游侠为您推荐思福迪LogBase运维安全审计系统（内控堡垒主机），不仅可以做RDP审计，还可以针对常用的PCAnywhere、RAdmin等进行审计。并且支持操作授权与阻断，强大的不行。

　　Linux、Unix、AIX、各种路由器、交换机，通过telnet进行管理，部分IDS支持

　　刚给 游侠安全网 增加了新浪微博调用，欢迎大家“关注”游侠！

　　点这里直接进入游侠的微博：新浪 腾讯

　　上午接到Arbor郭庆的电话，介绍了下那边做

　　2009年9月1日Gartner发布了一份报告，叫做《SIEM与IAM技术集成》（SIEM and IAM Technology Integration）。（注释：SIEM即Security Information and Event Management，安全信息和事件管理；IAM即Identity and Access Management，身份和访问管理）在这份报告中，Gartner指出，“集成IAM和SIEM将有助于IAM的用户和角色管理能力，发挥SIEM的异常监视功能，提供比IAM自身更强大的审计能力。”Gartner一直将用户行为监视（User Activity Monitoring）作为SIEM的主要驱动因素。Gartner认为“用户行为监视对于威胁管理和合规管理都是十分重要的”。
...

　　不断跟踪你的系统正在做什么--这是良好的IT管理流程中最重要，但也是最乏味的一环。在审计过程中，与特定标准匹配的事件将记录到计算机的事件日志（event log）中，帮助你完成这个重要的管理任务。在本讲座中，我将讨论审计和事件日志，并且教你如何完成这个工作。

　　审计设置中的选项

　　审计控制和属性要通过Windows 2000、Windows XP和Windows Server 2003等操作系统中的组策略对象进行修改。假设你的计算机正在加入一个活动目录域，你可以在计算机配置->Windows设置->安全设置->本地策略->审计策略目录下面的默认域策略中找到域审计策略。此外，你还可以通过控制面板中的管理工具模板查看这个本地安全策略。
...

　　有一篇来自英国的IT自由撰稿人写的博文，对日志管理（Log Management，LM）这个技术进行了一番自己的分析。可以说，全世界IT人士对LM的认识基本上都是一致的，包括对LM的作用、意义、技术架构和难点等。英国和美国的LM驱动力是类似的，那就是内控与合规。Kevin将合规分为三种类型：

　　1）法律要求的合规，就像是美国的SOX，国内例如刑七

　　2）商业领域的合规要求：就是行业规范，例如PCI-DSS，国内例如金融行业的内控指引，《企业内部控制规范》等；

　　3）政府领域的合规要求：就是政府的行政机构必须要遵守的合规性条款。例如英国的CoCo，当然美国有FISMA，中国的政府领域不仅包括行政机构，还有行政事业性单位，甚至国有企业，那就是等级保护了。
...

　　原文地址请点“这里”

　　TT安全上的这篇文章谈及了SIEM实施的负面问题，指出了四个可能存在的主要原因。实际上，这篇文章源自DarkReading在2010年9月27日发表的这篇文章《Five Reasons SIEM Deployments Fail》，是一个采访多位业内人士的综合报道。原文指出的是五个原因。第五个原因谈及的是“SIEM的伸缩性问题，尤其是事件采集和处理性能的问题”。

　　游侠在2011年3月到思福迪（LogBase）之后，因为公司的业务重点问题，关注点开始转移到：日志管理综合审计系统、数据库安全审计系统、运维操作审计系统（内控堡垒主机），也经常在网上搜一些相关的资料。

　　这不是，搜到一篇不错的，原文是《SOC理解》，但是很可惜没找到作者，那在这里向原作者致敬了。正文开始：

　　1.在soc的用途方面大家理解上的偏差

我们知道，无论是Unix、Linux、FreeBSD、Ubuntu，还是路由器、交换机，都会产生大量的日志，而这些，一般会以syslog的形式存在。调试过防火墙、入侵检测、安全审计等产品的朋友应该对SYSLOG熟悉，如果您还不了解SYSLOG，请登录百度或Google查询。

　　合适的日志管理工具能大幅减轻管理企业系统日志数据的负担。但是，除非组织为这个工具投入一定的时间和精力，否则再好的工具也会很快变成一个差劲的工具。Diana Kelley为大家提供了6个确保成功的日志管理最佳实践。

　　门外汉用上了工具依然是门外汉

　　如果你不准备投入时间和精力在恰当地安装、管理日志管理工具上，那么就不要把钱浪费在日志管理系统上面。日志管理系统必须进行合理的配置，以

日志审计系统是“我要什么”   主要收集各类设备的日志：路由器、防火墙、交换机、数据库等的日志 主要基于agent、syslog、snmp trap等 主要面向合规中“审计”部分的要求 收集上来的一般是原始日志   相对而言，soc偏重运营、工单处理 是收集日志上来之后“我要怎么办” 如筛选日志审计系统中报警级别“高”以上的日志 一线监控提交给二线监控，做分析，或提交客户 主要...

　　内控合规需求分析

　　当今的证券行业在IT信息安全领域面临比以往更为复杂的局面，日益迫切的信息系统审计和内控、以及持续增强的业务持续性需求，对证券行业的日志审计提出了明确的要求：

　　1) 《证券公司内部控制指引》第一百一十七条要求“证券公司应保证信息系统日志的完备性，确保所有重大修改被完整地记录，确保开启审计留痕功能”。

　　2) 证监会要求各证券单位“应建立对关键网络、安全设备和服务器日志定期检查和分析的制度。各单位应定期人工或采取软件分析方式对关键网络设备、安全设备和服务器日志进行检查和详尽的分析，通过定期对日志进行分析和总结，及时了解网络状况、设备运行状况，发现薄弱环节，及时整改，形成记录”。
...

　　有一篇来自英国的IT自由撰稿人写的博文，对日志管理（Log Management，LM）这个技术进行了一番自己的分析。可以说，全世界IT人士对LM的认识基本上都是一致的，包括对LM的作用、意义、技术架构和难点等。英国和美国的LM驱动力是类似的，那就是内控与合规。Kevin将合规分为三种类型：
　　1）法律要求的合规，就像是美国的SOX，国内例如刑七
　　2）商业领域的合规要求：就是行业规范，例如PCI-DSS，国内例如金融行业的内控指引，《企业内部控制规范》等；
　　3）政府领域的合规要求：就是政府的行政机构必须要遵守的合规性条款。例如英国的CoCo，当然美国有FISMA，中国的政府领域不仅包括行政机构，还有行政事业性单位，甚至国有企业，那就是等级保护了。
...

　　这里有两篇文章介绍了日志审计的重要性以及作用。现转载如下：

　　[注]这应该是一个比较早（2006或2007）的文章了，因为Anton Chuvakin在08年就去了LogLogic，而现在他已经自己开咨询公司了。呵呵。不过此文作为SIEM/LM的普及文还是写的不错的。

　　日志数据可以是有价值的信息宝库，也可以是毫无价值的数据泥潭。要保护和提高你的网络安全，由各种操作系统、应用程序、设备和安全产品的日志数据能够帮助你提前发现和避开灾难，并且找到安全事件的根本原因。

　　当然，日志数据对于实现网络安全的价值有多大取决于两个因素：第一，你的系统和设备必须进行合适的设置以便记录你需要的数据。第二，你必须有合适的工具、培训和可用的资源来分析收集到的数据。
...

随着中国移动河北有限公司通信网、业务网及各支撑系统的不断发展，由于内控措施不力造成的安全问题时有发生。依赖各通信网、业务网和各支撑系统中设备自身的日志功能进行审计的做法已经无法满足河北移动目前和未来业务发展的要求。

VCLMS针对目前主流信息系统基础平台的特点，通过采集各种网络设备、安全设备、操作系统及应用软件平台的安全事件日志及各种消息、主动探测运行状态等手段，为系统管理人员提供了一个监测面广、响应及时、具有强大分析能力的综合日志管理平台。