每个IT安全专业人员应该知道的12件事(十)

每个IT安全专业人员应该知道的12件事(十)

当错误发生时,系统管理员或技术支持需要知道错误原因是什么,如何恢复丢失数据和阻止错误复现。WINDOWS的Event-logging服务为此提供了解决方案。应用程序,操作系统或其它系统服务可以向该服务记录重要的事件消息,如:磁盘空间不足、没有访问权限等。系统管理员可以通过这些消息来确定错误发生的原因以及发生的上下文环境。通过定期的查看这些日志还可以帮助管理员在系统造成大的破坏前发现问题。

研究表明,最容易错过的安全事件一直都在Event logging中,等待被发现。你要做的就是检查。一个好的Event logging与黄金等价。以下是一位优秀的IT安全专业人员应该知道的一些事件记录的基本信息:

策略

策略意味着确定您要审核和警惕的内容。贵公司是否对安全事件检测,操作和应用程序管理或合规性审计感兴趣?您是仅仅审核工作站和服务器,还是也会审核应用程序和网络设备?

配置

当您确定审核的原因和要审核的内容时,您需要详细了解哪些日志事件将帮助您实现这些目标。许多日志管理供应商提供“套件”或“软件包”,提供预定义的内置配置以满足各种需求。每个用户都必须查看产品能够捕获和警告的内容,然后决定其他功能以满足其环境的需求。配置是将审核策略转换为可操作的信息捕获的行为。

采集

数据采集涉及从客户端向日志管理服务器发送日志消息事件。大多数产品提供无代理数据收集或要求将客户端事件转发到服务器。大多数日志管理产品都提供代理软件,以便在无代理收集无效的情况下协助收集数据。

规范化

收集的数据经常在进入数据流时被解析并分成单独的数据字段。解析数据(也称为结构化)通常更容易索引、检索和报告。未解析的数据也能被收集(也称为原始数据或非结构化数据),但索引、检索和报告并不容易。管理员必须创建自己的解析或将非结构化数据视为单个数据字段,并进行关键字搜索以检索信息。

规范化是将同类型的数据的不同表现方式解析为公共数据库中的相似格式的过程。在日志管理数据库中,这可能涉及将报告的事件时间与公共时间格式(例如,将本地时间改为标准时间)同步。这可能意味着将IP地址解析为主机名,以及其他任何试图使不同信息更相似的东西。您拥有的解析过的、规范的数据越多越好。在检查产品时,请务必检查所含的解析器数量,以确保它们能够捕获环境中的大部分日志信息。

索引

为了优化搜索查询,过滤器和报告的数据检索,数据需要在存储时编制索引。索引采用已分析的数据,尽管某些供应商会索引非结构化数据以便更快地检索。

存储

捕获的数据需要存储到中期或长期存储器中。所有产品都保存到本地硬盘驱动器中,有些可以存储到外部存储阵列,如SAN,NAS等。所有测试过的产品都允许导出事件信息以进行长期存储,并在需要时进行检索。如果您担心法定监管链要求,请确保您正在评估的解决方案对所有存储的消息都进行了加密。

关联性

关联性是从相同或不同来源获取不同事件并识别单一事件的过程。例如,某些日志管理产品能够识别数据包泛滥或密码猜测攻击,而不是简单地报告多个数据包丢失或登录失败。关联性反映了产品智能。关联性很强的日志管理产品称为安全信息和事件管理器(SIEM)。审核中的许多产品将日志管理(日志收集,存储,查询和报告)与SIEM功能相结合,但仅评估了其日志管理功能。

请注意,为了使集中式日志管理良好运行,所有传入的日志信息都应该具有准确的时间戳。确保所有受监控的客户端的时间和时区都正确。这有助于报告,取证分析和法律纠纷的解决。

基线

基线是定义特定环境中正常情况的过程,因此仅对异常模式和事件进行警报。例如,一天中每个网络环境都会有多次登录失败的情况。其中有多少次是正常的?在特定时间段内有多少次登录失败是可疑的?某些日志管理产品会监控传入的消息流量,并在超过特定阈值时发出警报。如果产品没有这样做,你必须这样做。

警报

当发生重要的安全或操作失误事件时,应对团队得到通知非常重要。大多数产品支持电子邮件和SNMP警报,其他产品支持paging,SMS,网络广播消息和syslog转发。一些产品与流行的帮助台产品结合可以自动生成服务票据。

警告阈值抑制单个因果事件发生的多个连续警报也是至关重要的; 大多数产品都支持此功能。例如,您不希望在跨多个端口的单个连续端口扫描中收到1,000次警报。一个警报应该足以让应对团队采取行动。

报告

报告所有收集的事件可以实现长期基线和指标。应在报告中包含重要事件并发出警报。报告允许技术团队查明问题和管理,以评估合规性工作。

EVENT LOGGING事件类型

EVENT LOG共有五种事件类型,所有的事件必须只能拥有其中的一种事件类型。

每个IT安全专业人员应该知道的12件事(十)

信息、警告、错误三种事件类型一般发生于除系统的Security日志以外的日志文件中。而成功审核、失败审核只发生于Security日志中。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/sole/view/113216.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code