IT环境中的每个设备,操作系统和应用程序都会以日志文件的形式生成活动记录。这些活动的审计线索在调查安全漏洞和提交法规遵从报告时提供了宝贵的信息。

的  网络风险管理项目 最近预测,一场需要受害者赎金的重大网络攻击可能会耗资1930亿美元,并影响全球60万多家企业。该组织研究了通过电子邮件发送的假想攻击,该电子邮件感染了勒索软件病毒,并将其转发给某人’的联系人。在24小时内,该病毒对全球3000万台设备上的数据进行了加密。各种规模的公司将被迫支付赎金,以解密其数据或更换受感染的设备。

正如本报告所表明的那样,在当今不断发展的威胁格局中,每个人都是网络犯罪分子的目标-规模不大,规模都不大。对您的防火墙和IDS设备的分析可能会显示出大量不断尝试渗透您的外围防御的尝试。而且,鉴于网络犯罪攻击的复杂性,发现违规行为变得更加困难。

这种情况需要设计良好的日志管理解决方案。但同样重要的是,该解决方案必须以最佳实践为后盾,这些最佳实践可以帮助您的IT团队更有效地清除不需要的数据,并使他们能够将更多的时间集中在代表潜在事件的日志事件上。威胁。

有价值的数据,但手工处理过多

IT环境中的每个设备,操作系统和应用程序都会以日志文件的形式生成活动记录。这些活动的审计线索在调查安全漏洞和提交法规遵从报告时提供了宝贵的信息。

关键是实施日志管理工具并应用实践,使您能够分析典型IT基础结构产生的大量日志文件。手动分类的方式太多了。

如果没有有效的集中式收集,格式化和监视日志的方法,您的IT团队可能会浪费时间-购买误报,并且花费太长时间来缓解会影响业务生产力的安全事件。但是,当实时进行有效分析时,日志会提供有关新出现的性能和可用性问题以及可能的安全威胁的警告。进行历史回顾时,日志对于故障排除,法医调查以及帮助证明符合法规至关重要。

日志管理最佳实践,可增强安全性并确保合规性

当您实施新的日志管理解决方案时(或寻求增强现有解决方案的方法时),以下是实现的高级最佳实践:

#1定义目标-您想检测哪些安全事件?需要什么合规性?哪些日志可以定期查看,哪些日志需要实时连续监控?将生成,存储和分析多少日志?在推出新的日志管理计划时,这些问题的答案将提供高级指导。

#2确定要收集的日志确保从关键安全性和数据处理资源(例如涉及敏感数据的业务应用程序和流程)中收集日志。其他要收集的日志包括提供对业务应用程序的访问的系统和网络设备,以前受到破坏的资源,Internet连接以及具有外部连接的系统,例如网关,防火墙,IDS,文件传输和协作解决方案。

#3可读性格式—确保日志以机器和人类可读格式(如JSON或KVP)进行结构化。如果您的日志无法理解,将无济于事。预先注意此细节可确保您使用的任何日志监视或分析解决方案都能够提取IT团队所需的数据。

#4集中管理从两个角度来看,集中日志收集,管理,监视和分析是一个好主意。首先,IT团队更容易分析日志并寻找有助于他们检测,预防和缓解安全威胁的线索。其次,法规审核员可能需要集中化的方法来证明您满足其合理和适当措施的要求,以确保数据安全。

#5实施自动监控-有些组织仅收集日志文件,以便在收到潜在违规通知时可以对其进行检查。其他人则尝试定期手动查看日志。完全不检查日志会浪费有关IT基础架构性能和安全状况的宝贵信息。另一方面,手动检查会花费大量时间,并且充满错过可能会影响安全性和合规性的大量日志事件的可能性。设置自动监视,以便您始终关注日志,并创建警报以将需要立即关注的事件通知IT团队。

有关应用日志管理最佳做法的更多详细信息,请查看我们的白皮书, 日志监控安全性和合规性最佳实践.

在日志管理解决方案中寻找什么

如果您需要 日志管理解决方案 提供实时事件监视和警报以补充这些最佳实践,寻找一种可提供可扩展且连续的日志收集,快速搜索,基于规则的警报以及分析和报告的方法。领先的解决方案将支持针对操作系统,防火墙和应用程序的数千种网络设备类型和日志定义。

他们还集中了日志数据收集,从而简化了日志取证分析,并使您能够在整个IT团队中注释和共享事件响应选项。寻找的其他关键功能包括预配置的操作和安全警报,以及定义自己的警报和设置实时通知的功能。

为了帮助您的企业遵守与日志有关的法规,您需要一个解决方案,该解决方案提供连续的法规遵从性监视,实时威胁检测以及使用常见搜索查询进行快速搜索的能力。领先的日志管理解决方案还将为您提供预定义的合规报告,这些报告可以针对特定的法规要求进行定制。

在损坏发生之前采取行动

不管您选择哪种解决方案和采用的实践,日志管理都应该是安全程序的重要组成部分。至少,受信任的个人应该定期查看日志以了解安全事件的明显迹象。

但是,当数据安全性是一个关键问题时(就像几乎每个企业一样),应持续监视和分析来自关键安全性和数据处理资源的日志。对于处理敏感数据的业务应用程序尤其如此。

理想情况下,您应该使用集中式日志管理工具。在对数字资产造成严重损害之前,只有实时监视和分析才能提供对采取措施所需的外围和核心系统防御漏洞的预警。

Source://blog.ipswitch.com/topic/monitoring