什么类型客户做网站,wordpress分享积分,网站 白名单,寿光网站优化给日志源分出主次大有利于开展有效事件响应。就像分诊护士一样#xff0c;安全人员也必须给数据分出个优先主次#xff0c;以帮助他们更好地识别问题#xff0c;使公司企业及其数据和设备能够避免入侵者和网络攻击的伤害。但是#xff0c;记录和监视IT环境中的所有相关事件… 给日志源分出主次大有利于开展有效事件响应。就像分诊护士一样安全人员也必须给数据分出个优先主次以帮助他们更好地识别问题使公司企业及其数据和设备能够避免入侵者和网络攻击的伤害。但是记录和监视IT环境中的所有相关事件并不简单。举个例子一些常见日志源比如服务器、防火墙、活动目录(AD)、入侵检测系统(IDS)和终端工具就很容易接入和解析。但对事件响应(IR)尤其有价值的其他源就因所需工作量太大而难以大规模管理也极少接入。事实上451Research对150家大型企业的调查研究发现企业日志产出系统生成的日志中只有不到一半(45%)被其安全信息与事件管理(SIEM)平台接入。这意味着企业安全团队面临缺失关键信息的风险一些指征入侵的指标可能会被错过企业整体安全态势受到影响。为最大化日志效益公司企业必须评估和调适现有过程以符合当前需求和威胁状况并考虑记录往往被忽略掉的对IR和威胁追捕价值无限的事件源。下面5个日志源值得安全团队加以重视。1. 数据库日志数据库日志难是有原因的。管理员通常选择不开启审计之类功能因为此类功能可能会影响到服务器的性能。企业环境中数据库服务器的数量通常很庞大审计数据库和表非常困难。而且如果第三方创建的数据库对数据和表结构查阅做了限制企业安全团队也难以访问和查看数据库中发生的操作。想在不开启审计功能的情况下获得足够的数据库可见性如果数据库活动监视可用的话可以考虑关联内置规则和警报到公司SIEM平台。还可以创建监测特定行为的预置过程写下带有违规记录的ID、日期和时间的事件日志以触发警报。2. Web服务器日志《2018威瑞森数据泄露调查报告》指出数据泄露的几大主要原因中Web应用中的漏洞占据了最大比例——Web应用通常可以访问高度敏感的客户账户信息。不幸的是安全团队却最为缺乏Web服务器日志。另外与微软IIS或Apache之类原生Web服务器日志不同Web服务器日志往往以多行或定制格式很不标准地记录到文本文件或数据库中这就让Web服务器日志的解析变得异常困难。如果你使用标准Web服务器日志要确保启用了所有相关域因为IIS的默认W3C设置不捕获一些重要元素比如页面大小和cookie值。Web应用防火墙(WAF)事件日志已经关注了潜在恶意行为。3. DNS日志DNS提供用户访问网站的丰富信息显示有无恶意应用在访问命令与控制(CnC)站点。但因为防火墙往往允许DNS数据出站DNS也是用于渗漏数据的常见隧道协议。因数据量巨大不标准的多行格式以及导出难度DNS日志记录与解析工作颇为棘手。可以考虑采用BIND、Infoblox甚至微软的新 Analytical Event Logging方法——使用更标准的日志格式而不是传统的调试和平面文件导入。新的Analytical日志方法比调试方法性能高得多且日志以常见的 Windows Event Log 格式存储。4. 云平台日志AWS、谷歌云平台、微软Azure、Salesforce和Dropbox等云服务越来越多地被公司企业用于存储数据和应用。但是此类服务大多不具备统一的日志格式需要不同的解析器记录平台上托管的各个应用产生的事件也需不同记录方法。对大多数团队而言为如此之多的事件构造解析器就十分困难了但若在接入之前有效预过滤数据就能通过只处理可执行事件而防止SIEM或日志工具过载。云应用安全代理(CASB)解决方案或许不是无所不包的企业平台但能提供应用或服务级的细粒度审计功能需作为完整的云平台加以日志和监视上的考虑。CASB是事件响应和取证调查的必备工具因为报警云服务未授权访问可以预示潜在的内部人威胁。5. 物理安全日志监视摄像系统、生物特征/卡门禁读取器和警报系统的内部人威胁日志也非常有价值。这些日志源的信息与来自服务器、工作站、防火墙、VPN和远程访问设备的证据相关联就可以揭示登录凭证是否被盗及时确认内部威胁的具体位置。不过物理安全团队和IT安全团队之间通常都没有合作使得不同日志源的信息难以收集和关联起来。除此之外迥然不同的系统之间也无法实现日志摄入。安全团队的关注重点应该放在远程设施的未授权物理访问访客和承包商对未授权区域的访问以及下班时间警报触发等事情上。保持警惕上述5个日志源有助于提升对整个企业安全环境的可见性但公司企业需灵活处理其安全产品产生的新警报。451Research报告发现43%的公司企业无法应对至少1/4的警报近半数公司企业称其SIEM、终端检测与响应和其他数据捕获系统让他们的安全运营团队疲于应付。最好是能够为所有可能的日志源创建路线图令IT安全团队与受影响的业务部门合作以设立日志优先级将日志摄入所需工作量及其能够缓解的潜在风险纳入考虑。事先搞好安全团队与数据或应用拥有者之间的协作可以确保双方能够一起审查可执行事件类型并发现日志源拥有者可能需要更多可见性的地方。451 Research 的调查https://protect-eu.mimecast.com/s/kuoWCJy99clWo3lhG5fxp《2018威瑞森数据泄露调查报告》https://protect-eu.mimecast.com/s/rLytCK1VVsPykzPU3G1oJ?domainenterprise.verizon.com相关阅读消痕匿迹的黑客论日志与流量模式备份的重要性
