- 系統安全| 網站安全| 企業安全| 網絡安全| 工具軟件| 殺毒防毒| 加密解密|
- 首頁 > 安全 > 企業安全 > 正文
- 企業安全日志分析 五大問題需重點注意
我要投稿 - 無論是提高性能、收集商業情報還是檢測安全威脅,日志管理可以歸結為三個步驟:收集日志、存儲數據和分析數據來發現模式。然而,雖然收集和分析日志數據是 SANS協會確定的20個關鍵安全控制之一,大多數企業并沒有定期收集和分析其日志,除非有法律明文規定。IT管理和監控軟件制造商SolarWinds 的產品經理Nicole Pauls表示,面對大規模數據,信息技術官很困惑,不知道從哪里開始。
Dell SecureWorks的反威脅部門運營和開發主管Ben Feinstein表示,良好的安全日志分析主要圍繞四個原則。首先,企業需要監控正確的日志,包括來自防火墻、虛擬專用網絡(VPN)設備、web代理 服務器和DNS服務器的數據。接下來,安全團隊必須收集企業網絡內“正常”數據。第三,分析師必須能夠識別其日志文件中表明存在攻擊的數據。最后,安全團 隊必須有一個程序用于響應日志分析中確定的事件。
Feinstein表示,“如果你的安全團隊不知道可疑行為是什么樣子,那么把所有的日志都放到SIEM系統里是沒有意義的。”根據安全專家表明,企業應該檢查下面五個類型的事件:
1. 用戶訪問異常
Active Directory域控制器的Windows安全日志和記錄是發現網絡中可疑活動的第一個位置。權限更改、用戶從遠程未知地點訪問,以及用戶訪問一個系統訪問另一個系統,都可能是可疑活動。
惠普ArcSight公司產品營銷經歷Kathy Lam表示,“當我們在看攻擊類型,以及攻擊者如何進入環境時,他們通常冒充用戶在網絡內潛伏數月,甚至超過一年,通過查看正常活動基準,以及當前活動與基準的對比,就能找出可疑活動。”
尤其重要的是特權賬戶,即在網絡中多個系統具有管理員權限的用戶。由于這些賬戶在網絡中擁有更多的權利,企業應該更密切地監控這些賬戶。
2. 與威脅指標匹配的模式
公司還應該對比其日志中的數據與他們能夠獲得的威脅指標--無論是通過建立黑名單,還是更全面的威脅情報服務。
威脅指標可疑幫助企業識別防火墻、DNS服務器或者web代理服務器日志中可疑的IP地址、主機名稱、域名和惡意軟件簽名。他指出:“web代理服務器日志對網絡流量有著強大的可視性,即你的端點系統是如何連接到網絡的。”
3.計劃外的配置變更
獲取對系統的訪問的攻擊者通常會嘗試更改配置來進一步攻擊,以及在網絡中獲得立足點。SolarWinds公司副總裁Sanjay Castelino表示,由于大多數企業限制配置更改到每周、每月或者每季度的有限時間內,這些配置更改(無論是打開系統還是關閉日志記錄功能)都可能表 明攻擊正在進行中。
在某些情況下,這種分析可以幫助企業發現攻擊。用于管理安全產品的規則通常非常復雜,我們很難通過簡單的分析來檢查這些規則是否是惡意。相反地,安全團隊很容易標記出任何在特定維護期外的變更。
4. 奇怪的數據庫傳輸
因為數據庫是企業基礎設施的重要部分,企業應該監測數據庫傳輸情況來發現可疑活動。例如,試圖選擇和復制大范圍數據的請求應該得到密切關注。
此外,監控數據庫通信是不夠的。雖然記錄數據傳輸情況可能會影響數據庫性能,但在調查數據泄漏事故時,這些記錄是非常有價值的。安全管理公司 Solutionary的工程研究團隊研究主管Rob Kraus表示:“當客戶問我們哪些記錄被訪問了,我們可疑證明哪些記錄沒有被訪問,足跡通常會牽引到數據庫。如果沒有記錄這些數據,這會帶來真正的挑 戰,你也說不清到底哪些記錄被動過。”
5.新設備用戶組合
在移動設備和攜帶自己設備到工作場所趨勢出現之前,企業可以將任何連接到網絡的新的設備視為可疑對象。但現在,這已經不再是一個威脅指示。
企業應該鏈接設備到其用戶,并將變更視為可疑事件。他表示,“你可能想要標記設備,但你更應該將設備與用戶聯系在一起,因為如果我帶我的平板電腦來上班,其他人不應該使用它來登錄。”
:python入門)
 第10章 Android的消息機制)
