本文是分为两部分的安全日志分析的第二部分。第一部分讨论了日志监测分析的重要性。第二部分帮助你如何利用日志有效地保护你的网络和增强网络的安全。
日志数据在管理计算机或者网络方面是一种有价值的和实用的工具。事先监测日志数据以寻找可疑的活动迹象的能力或者在发生安全事件时分析日志数据是非常有价值的。
第一步是确保你的系统和设备进行了正确的配置,以便检查和记录事件。假设日志数据已经被捕捉和存储,你需要一个有效的工作流程来检查和分析这些数据。下面的一些建议可以向你提供一些指南并且确保你最有效和最充分地使用你的日志数据。
1.有规律地检查日志数据
虽然日志数据在安全事件发生时用作法院的证据是非常有效的,但是,如果有规律地分析这些日志数据,这种安全事件也许根本就不会发生。
应该建立一个工作流程,确定多长时间检查和分析一次收集到的日志数据。定期分析由整个网络中的各种应用程序和设备收集到的海量日志数据有助于找出和诊断故障,还可能发现正在进行中的攻击。
2.以开放的眼光查看日志信息
在分析日志数据时常见的错误是要具体找出已知的事件或者日志项。然而,日志数据中多数有价值的内容似乎存在于表面上很好或者正常的日志项目中。通过以开放的眼光检查这些日志项目,你也许会找到可疑的活动迹象。如果你仅仅查看错误信息,这种迹象很可能会漏掉。
如果把日志审查的重点放在查找已知的恶意活动方面,任何新出现的威胁或者对客户的攻击都会由于失察而漏掉。
3.通过一个透镜查看数据
整个网络中的设备和应用程序将收集日志数据。遗憾的是没有一种通用的格式或者方法来记录和显示事件的信息。
为了进行准确的比对,某种形式的转化便产生了,也就是对日志数据实施“正常化”。一旦数据压缩为通用的组件,就很容易把这个网络作为一个整体进行分析,而不是作为一个单独的日志项目进行分析。这样就可以更好地根据轻重缓急对发现的问题进行处理或者做出反应。
日志数据的处理是很困难的。日志信息中包含珍贵的钻石信息。但是,你需要挖掘很多泥土才能找到这些钻石。海量的日志数据使有效地利用这些数据成为表明上不可克服的挑战。然而,有SEM(安全事件管理器)等工具软件能够帮助你查找数据。但是,没有确定如何使用日志数据的流程,没有能够有效地分析日志数据并且对日志数据中发现的信息做出反应的经过培训的人员,这种工具将毫无用处。
