有志於對資訊系統所產生的大量資料加以分析的企業必須檢查使用者訪問、配置變更以及其它日誌事件。
無論是為了提公升效能、收集商業情報還是檢測安全威脅,日誌管理工作都應被劃分為以下三個步驟:收集日誌、儲存資料並通過分析將資料轉化為可識別模式。
然而,作為安全網路協會提出的二十大關鍵性安全控制機制之一,日誌資料收集與分析並沒有得到大多數企業的重視及嚴格執行。除非法律或者法規做出明確規定,否則企業管理者根本不關心技術人員有沒有定期收集並分析日誌內容。it管理及監控軟體企業solarwinds公司產品經理nicole pauls表示,面對如此規模的資料總量,資訊科技專家很可能搞不清該從**入手。
「當人們接觸日誌管理工作時,往往會被立刻淹沒在大量資料的海洋當中,」她表示。「大家希望努力找到其中的異常、固有模式或者某些蛛絲馬跡,但這真的非常困難。」
戴爾安全事務反威脅部門主管ben feinstein指出,優秀的安全日誌分析方案需要包含四大原則。首先,企業需要監控正確的日誌物件,例如防火牆、虛擬專有網路(簡稱vpn)裝置、網路**以及dns伺服器。其次,安全團隊必須收集那些在企業網路中看似「尋常」的資料。第三,分析人士必須能夠從日誌檔案中識別出攻擊活動指標。最後,安全團隊必須制定執行流程,用於響應通過日誌分析識別到的事件。
「如果安全團隊無法從監控系統中正確找到負面或者可疑活動,單純將全部日誌推向siem(即安全資訊與事件管理)系統對於安全工作其實毫無用處,」feinstein解釋稱。
根據安全專家的建議,企業應該著重檢查五種事件型別。
1. 異常使用者訪問
windows安全日誌以及active directory域控制器記錄是發現網路惡意活動的良好起點。根據惠普arcsight產品營銷經理kathy lam的說法,許可權、來自未知位置的遠端使用者登入以及利用一套系統訪問其它內容的行為都是惡意活動的顯著特徵。
「在觀察惡意攻擊型別以及黑客進入業務環境的過程中,我們發現惡意人士往往會在數月甚至超過一年的漫長週期中始終冒充普通使用者,」她指出。「通過整理網路活動基準並將當前活動與之相比較,安全人士能夠切實發現攻擊活動。」
在安全工作當中,最重要的保護群體要數那些特權賬戶——這部分使用者在各類網路系統中擁有管理員級別的許可權。由於這些賬戶有能力對網路進行深層變更,因此大家需要打起十二分精神對其加以監控。
2. 與威脅指標相匹配的模式
企業還應當將日誌中的資料與其它各類**資訊加以比較,包括建立黑名單或者更具完整性的威脅情報服務,secureworks公司 的feistein建議道。
威脅指標能夠幫助企業識別可疑ip位址、主機名、網域名稱以及來自防火牆、dns伺服器或者網路**日誌的惡意軟體簽名。
「網路**日誌對於網路流量而言是一種強大的觀察立足點,它會對網路體系加以遍歷、了解終端系統如何與外部網路相對接,」他表示。
3. 「視窗」以外的配置變化
獲得了系統訪問許可權的攻擊者通常會嘗試進一步改變配置以實施惡意活動,並為自己在網路中構建更為堅實的立足點。
由於大多數企業都為配置變更設定了限制時間,例如每週、每月或者每季度一次,因此由惡意人士執行的配置變更——例如放開系統控制機制或者關閉日誌記錄——應該引起我們的警覺。這類跡象說明攻擊活動正在進行,solarwinds公司副總裁sanjay castelino解釋道。
「這些變更通常只應該發生在乙個很小的『視窗』當中,一旦此類配置變更出現在視窗之外,就說明異常情況已經發生,」他補充稱。
4. 奇怪的資料庫事件
此外,僅僅監控資料庫的通訊活動還遠遠不夠。雖然日誌事件會給資料庫效能造成一定影響,但掌握全部事件的詳細記錄對於成功預防資料洩露事故而言至關重要,安全管理企業solutionary公司工程研究團隊研究主管rob kraus指出。
「當客戶要求我們出示證據,證明哪些記錄曾經接受訪問而哪些記錄不允許接受訪問時,資料庫事件的詳細日誌的價值將得到充分體現,」他表示。「如果這些事件沒有經過日誌記錄,會給企業造成很**煩。總而言之,除非明確記錄下所有資料庫事件,否則我們很難證明哪些記錄曾被訪問過。」
5. 新的裝置-使用者組合
在移動裝置與自帶裝置趨勢興起之前,企業可以將任何新接入網路環境的裝置預設視為可疑活動。然而時至今日,我們已經不能再將此作為衡量指標,solarwinds公司的castelino表示。
相反,企業應當將裝置與使用者相匹配,並將這種變更視為常規事件,他指出。
「大家可能仍然需要對裝置進行標記,但應該將裝置與使用者結合起來進行整體標記,」他解釋道。「因為如果我把自己的平板帶入業務環境,其他同事不應該通過它登入業務體系。」
vmware NAT 網路出現問題的解決方法
nat 網路的配製 用nat網路相對來說,以後網段出現改變,都不會有大的影響,方便以後做實驗。用dhclient 來獲取ip dhclient r 是用來關閉獲取ip的。自動獲取ip,也可以改成靜態的,如上圖所示。如上圖,我自己電腦所修改的。但後來,出現問題,無法ping通外網。出現問題後,最直接的...
計算機網路體系的三大模型
一 三大模型 1 經典的osi七層模型 物理層 phy層 資料鏈路層 dl層 網路層 ip層 傳輸層 或運輸層tran層 會話層 表示層 應用層 2 簡化的理論五層模型 物理層 資料鏈路層 網路層 傳輸層 應用層 對應於七層模型的會話層 表示層 應用層 3 實際應用中的tcp ip體系四層模型 網路...
SEO中最容易出現的五大錯誤
seo雖然說並非很深奧的理論,很多高手都是靠實踐中去摸索,而想在seo中有所作為必須要會數程式設計客棧據分析和獨立分析問題,很多時候一些程式設計客棧好的seo方法都是靠嘗試出來的,只會理論不懂分析的死板seo工作者很難有作為的,在分析對手 和一些成功失敗的案例中,會發現下面的五大錯誤還是經常會出現在...