在使用日誌的過程中,人們常常會面臨五大誤區。克服這些誤區,不僅可以大大提公升安全設施的價值,而且能夠及時化解潛在風險。
為了應對不斷湧現的安全威脅,許多企業都部署了多種安全裝置。這些裝置生成大量的日誌資訊。為了利用這些資訊,許多企業還部署了日誌收集和分析程式。即使如此,許多使用者仍然認為安全裝置的作用沒有達到期望值。之所以發生這種情況,常常是由於人們在日誌分析中的五個誤區所造成的。
不檢視日誌
許多使用者都會犯乙個低階錯誤—不檢視日誌。雖然收集和儲存日誌很重要,但只有經常檢視日誌,了解網路環境中發生了哪些情況,才能及時做出響應。一旦部署了安全裝置並且收集了日誌,使用者需要對其進行持續監控,以及時發現可能發生的安全事件。
一些使用者只在重大事件之後才審查日誌,儘管這些使用者能夠獲得事後分析的好處,但沒能獲得事前預防的好處。主動檢視日誌有助於使用者更好地實現安全設施的價值,了解攻擊行為將在何時發生並及時採取措施。
許多使用者總愛抱怨入侵檢測系統(ids)不能起作用。造成這一問題的重要原因就是,ids經常產生誤報,使人們無法根據其警告資訊採取行動。如果人們將ids日誌與其他日誌(如防火牆日誌)進行全面關聯分析,就能充分發揮ids的作用。
沒區分日誌的優先次序
日誌已經收集完畢,儲存時間也足夠長,並且日誌格式也統一了,接下來網管員應該從何處著手呢?建議使用者設法獲得高水平的摘要以檢視最近的安全事件。這需要克服另外乙個錯誤,即不區分日誌記錄的優先次序。一些網管員理不清優先次序就研究大量的日誌資料,結果就會半途而廢。
有效優先化的第一步就是對策略進行定義。回答下列問題會有助於定義策略:「最擔心什麼?」「攻擊得逞了嗎?」「以前發生過這種攻擊嗎?」 可幫助使用者開始制定優先化策略,減輕使用者每天收集日誌資料的負擔。
日誌格式不統一
日誌格式不統一十分普遍:有的基於簡單網路管理協議,有的則基於unix系統。缺乏統一的日誌格式,導致企業需要不同的專家來從事日誌分析,這是因為並非所有通曉unix日誌格式的管理人員都能看懂windows事件日誌記錄,反之亦然。多數網管員通常只對少數系統熟悉,將裝置生成的日誌資訊轉換為統一的格式有利於網管員進行關聯分析和進行決策。
日誌儲存時間太短
網路安全 網路安全管理技術(練習題)
1 計算機網路安全管理主要功能不包括 a.效能和配置管理功能 b.安全和計費管理功能 c.故障管理功能 d.網路規劃和網路管理者的管理功能 2 網路安全管理技術涉及網路安全技術和管理的很多方面,從廣義的範圍來看 是安全網路管理的一種手段。a.掃瞄和評估 b.防火牆和入侵檢測系統安全裝置 c.監控和審...
什麼是網路安全?網路安全的主要型別
網路安全 網路安全指的是可以保障資料和網路的不被黑客入侵攻擊,可以安全的運作。有效的網路安全管理對網路的訪問。它針對各種威脅,並阻止危險進入或傳播到您的網路。網路安全員都會對網路組成多層的防禦機制,可以控制訪問者,可以有效的阻止黑客的惡意攻擊。網路安全型別的主要方式 訪問者控制 並不是每乙個使用者都...
session工作原理是什麼?網路安全網路協議學習
網路安全是近幾年來較為火熱的職業崗位,深受個人和企業的青睞。廣闊的發展前景吸引著眾多想要學習網路安全技術的人們。學習網路安全是現下眾多人轉行it的熱門選擇之一。知識點網路協議相關知識中,session是必須要了解的。那麼session工作原理是什麼?1.session是儲存在伺服器端,理論上是沒有是...