企業日誌分析 五大問題需重點注意

2022-01-17 04:39:04 字數 1818 閱讀 7313

系統安全| **安全| 企業安全| 網路安全| 工具軟體| 防毒防毒| 加密解密|

首頁 > 安全 > 企業安全 > 正文

企業安全日誌分析 五大問題需重點注意

收藏我要投稿

無論是提高效能、收集商業情報還是檢測安全威脅,日誌管理可以歸結為三個步驟:收集日誌、儲存資料和分析資料來發現模式。然而,雖然收集和分析日誌資料是 sans協會確定的20個關鍵安全控制之一,大多數企業並沒有定期收集和分析其日誌,除非有法律明文規定。it管理和監控軟體製造商solarwinds 的產品經理nicole pauls表示,面對大規模資料,資訊科技官很困惑,不知道從**開始。

dell secureworks的反威脅部門運營和開發主管ben feinstein表示,良好的安全日誌分析主要圍繞四個原則。首先,企業需要監控正確的日誌,包括來自防火牆、虛擬專用網路(vpn)裝置、web** 伺服器和dns伺服器的資料。接下來,安全團隊必須收集企業網路內「正常」資料。第三,分析師必須能夠識別其日誌檔案中表明存在攻擊的資料。最後,安全團 隊必須有乙個程式用於響應日誌分析中確定的事件。

feinstein表示,「如果你的安全團隊不知道可疑行為是什麼樣子,那麼把所有的日誌都放到siem系統裡是沒有意義的。」根據安全專家表明,企業應該檢查下面五個型別的事件

1. 使用者訪問異常

active directory域控制器的windows安全日誌和記錄是發現網路中可疑活動的第乙個位置。許可權更改、使用者從遠端未知地點訪問,以及使用者訪問乙個系統訪問另乙個系統,都可能是可疑活動。

惠普arcsight公司產品營銷經歷kathy lam表示,「當我們在看攻擊型別,以及攻擊者如何進入環境時,他們通常冒充使用者在網路內潛伏數月,甚至超過一年,通過檢視正常活動基準,以及當前活動與基準的對比,就能找出可疑活動。」

2. 與威脅指標匹配的模式

公司還應該對比其日誌中的資料與他們能夠獲得的威脅指標--無論是通過建立黑名單,還是更全面的威脅情報服務。

威脅指標可疑幫助企業識別防火牆、dns伺服器或者web**伺服器日誌中可疑的ip位址、主機名稱、網域名稱和惡意軟體簽名。他指出:「web**伺服器日誌對網路流量有著強大的可視性,即你的端點系統是如何連線到網路的。」

3.計畫外的配置變更

獲取對系統的訪問的攻擊者通常會嘗試更改配置來進一步攻擊,以及在網路中獲得立足點。solarwinds公司副總裁sanjay castelino表示,由於大多數企業限制配置更改到每週、每月或者每季度的有限時間內,這些配置更改(無論是開啟系統還是關閉日誌記錄功能)都可能表 明攻擊正在進行中。

在某些情況下,這種分析可以幫助企業發現攻擊。用於管理安全產品的規則通常非常複雜,我們很難通過簡單的分析來檢查這些規則是否是惡意。相反地,安全團隊很容易標記出任何在特定維護期外的變更。

4. 奇怪的資料庫傳輸

此外,監控資料庫通訊是不夠的。雖然記錄資料傳輸情況可能會影響資料庫效能,但在調查資料洩漏事故時,這些記錄是非常有價值的。安全管理公司 solutionary的工程研究團隊研究主管rob kraus表示:「當客戶問我們哪些記錄被訪問了,我們可疑證明哪些記錄沒有被訪問,足跡通常會牽引到資料庫。如果沒有記錄這些資料,這會帶來真正的挑 戰,你也說不清到底哪些記錄被動過。」

5.新裝置使用者組合

在移動裝置和攜帶自己裝置到工作場所趨勢出現之前,企業可以將任何連線到網路的新的裝置視為可疑物件。但現在,這已經不再是乙個威脅指示。

企業應該鏈結裝置到其使用者,並將變更視為可疑事件。他表示,「你可能想要標記裝置,但你更應該將裝置與使用者聯絡在一起,因為如果我帶我的平板電腦來上班,其他人不應該使用它來登入。」

注意五大問題,避免CRM低效問題

crm軟體不是單打獨鬥的個人操作,而整個企業部門與員工之間的協同作戰才能發揮出crm系統的作用,如果在團隊操作crm過程 現某些不規範,或者沒有按照計畫去實施就可能導致其它參與人員的計畫被打亂。結果導致的損失也可想而知,然而企業在操作的過程並沒意識到這點,所以出現很多人抱怨crm的效率問題,那麼要怎...

用友網路陳強兵 企業網際網路需解決五大問題

本文根據用友網路科技股份 執行總裁陳強兵在 2016中國企業網際網路行動大會 上的致辭整理形成。傳統企業在網際網路化轉型的過程中,總是不免有各種各樣的困惑。用友網路科技股份 執行總裁陳強兵在由用友網路主辦的 2016中國企業網際網路行動大會 的開場致辭中指出,在過去的一年很多傳統企業期望網際網路化轉...

談談SEO過程中要注意的五大問題

做 的人都知道seo很重要,但是如何做好seo?讓您的 在搜尋引擎上排列第一?這是很多站長煞廢心思的地方。下面結合個人經驗 關於seo的個人見解,如有不同意見,歡迎交流。謝謝!第一點,內容是王道,的靈魂就是內容!即便你的seo做得再好,內容的更新速度決定了蜘蛛的來訪次數,也就決定了搜尋引擎對 的受青...