無(wú)論是提高性能、收集商業(yè)情報(bào)還是檢測(cè)安全威脅，日志管理可以歸結(jié)為3個(gè)步驟：收集日志、存儲(chǔ)數(shù)據(jù)和分析數(shù)據(jù)來(lái)發(fā)現(xiàn)模式。然而，雖然收集和分析日志數(shù)據(jù)是SANS協(xié)會(huì)確定的20個(gè)關(guān)鍵安全控制之一，大多數(shù)企業(yè)并沒(méi)有定期收集和分析其日志，除非有法律明文規(guī)定。IT管理和監(jiān)控軟件制造商SolarWinds的產(chǎn)品經(jīng)理NicolePauls表示，面對(duì)大規(guī)模數(shù)據(jù)，信息技術(shù)官很困惑，不知道從哪里開始。

Dell Secure Works的反威脅部門運(yùn)營(yíng)和開發(fā)主管 Ben Feinstein表示，良好的安全日志分析主要圍繞4個(gè)原則。首先，企業(yè)需要監(jiān)控正確的日志，包括來(lái)自防火墻、虛擬專用網(wǎng)絡(luò)(VPN)設(shè)備、web代理服務(wù)器和DNS服務(wù)器的數(shù)據(jù)。接下來(lái)，安全團(tuán)隊(duì)必須收集企業(yè)網(wǎng)絡(luò)內(nèi)“正?！睌?shù)據(jù)。第三，分析師必須能夠識(shí)別其日志文件中表明存在攻擊的數(shù)據(jù)。最后，安全團(tuán)隊(duì)必須有一個(gè)程序用于響應(yīng)日志分析中確定的事件。

Feinstein表示，“如果你的安全團(tuán)隊(duì)不知道可疑行為是什么樣子，那么把所有的日志都放到SIEM 系統(tǒng)里是沒(méi)有意義的?！备鶕?jù)安全專家表明，企業(yè)應(yīng)該檢查下面5個(gè)類型的事件：

1.用戶訪問(wèn)異常

Active Directory域控制器的Windows安全日志和記錄是發(fā)現(xiàn)網(wǎng)絡(luò)中可疑活動(dòng)的第一個(gè)位置。權(quán)限更改、用戶從遠(yuǎn)程未知地點(diǎn)訪問(wèn)，以及用戶訪問(wèn)一個(gè)系統(tǒng)訪問(wèn)另一個(gè)系統(tǒng)，都可能是可疑活動(dòng)。

惠普ArcSight公司產(chǎn)品營(yíng)銷經(jīng)歷Kathy Lam 表示，“當(dāng)我們?cè)诳垂纛愋?，以及攻擊者如何進(jìn)入環(huán)境時(shí)，他們通常冒充用戶在網(wǎng)絡(luò)內(nèi)潛伏數(shù)月，甚至超過(guò)一年，通過(guò)查看正常活動(dòng)基準(zhǔn)，以及當(dāng)前活動(dòng)與基準(zhǔn)的對(duì)比，就能找出可疑活動(dòng)?！?/p>

尤其重要的是特權(quán)賬戶，即在網(wǎng)絡(luò)中多個(gè)系統(tǒng)具有管理員權(quán)限的用戶。由于這些賬戶在網(wǎng)絡(luò)中擁有更多的權(quán)利，企業(yè)應(yīng)該更密切地監(jiān)控這些賬戶。

2.與威脅指標(biāo)匹配的模式

公司還應(yīng)該對(duì)比其日志中的數(shù)據(jù)與他們能夠獲得的威脅指標(biāo)——無(wú)論是通過(guò)建立黑名單，還是更全面的威脅情報(bào)服務(wù)。

威脅指標(biāo)可疑幫助企業(yè)識(shí)別防火墻、DNS服務(wù)器或者web代理服務(wù)器日志中可疑的IP地址、主機(jī)名稱、域名和惡意軟件簽名。他指出：“web代理服務(wù)器日志對(duì)網(wǎng)絡(luò)流量有著強(qiáng)大的可視性，即你的端點(diǎn)系統(tǒng)是如何連接到網(wǎng)絡(luò)的。”

3.計(jì)劃外的配置變更

獲取對(duì)系統(tǒng)的訪問(wèn)的攻擊者通常會(huì)嘗試更改配置來(lái)進(jìn)一步攻擊，以及在網(wǎng)絡(luò)中獲得立足點(diǎn)。Solar Winds 公司副總裁 Sanjay Castelino表示，由于大多數(shù)企業(yè)限制配置更改到每周、每月或者每季度的有限時(shí)間內(nèi)，這些配置更改 (無(wú)論是打開系統(tǒng)還是關(guān)閉日志記錄功能)都可能表明攻擊正在進(jìn)行中。

在某些情況下，這種分析可以幫助企業(yè)發(fā)現(xiàn)攻擊。用于管理安全產(chǎn)品的規(guī)則通常非常復(fù)雜，我們很難通過(guò)簡(jiǎn)單的分析來(lái)檢查這些規(guī)則是否是惡意。相反地，安全團(tuán)隊(duì)很容易標(biāo)記出任何在特定維護(hù)期外的變更。

4.奇怪的數(shù)據(jù)庫(kù)傳輸

因?yàn)閿?shù)據(jù)庫(kù)是企業(yè)基礎(chǔ)設(shè)施的重要部分，企業(yè)應(yīng)該監(jiān)測(cè)數(shù)據(jù)庫(kù)傳輸情況來(lái)發(fā)現(xiàn)可疑活動(dòng)。例如，試圖選擇和復(fù)制大范圍數(shù)據(jù)的請(qǐng)求應(yīng)該得到密切關(guān)注。

此外，監(jiān)控?cái)?shù)據(jù)庫(kù)通信是不夠的。雖然記錄數(shù)據(jù)傳輸情況可能會(huì)影響數(shù)據(jù)庫(kù)性能，但在調(diào)查數(shù)據(jù)泄漏事故時(shí)，這些記錄是非常有價(jià)值的。安全管理公司Solutionary的工程研究團(tuán)隊(duì)研究主管Rob Kraus表示：“當(dāng)客戶問(wèn)我們哪些記錄被訪問(wèn)了，我們可以證明哪些記錄沒(méi)有被訪問(wèn)，足跡通常會(huì)牽引到數(shù)據(jù)庫(kù)。如果沒(méi)有記錄這些數(shù)據(jù)，這會(huì)帶來(lái)真正的挑戰(zhàn)，你也說(shuō)不清到底哪些記錄被動(dòng)過(guò)?！?/p>

5.新設(shè)備用戶組合

在移動(dòng)設(shè)備和攜帶自己設(shè)備到工作場(chǎng)所趨勢(shì)出現(xiàn)之前，企業(yè)可以將任何連接到網(wǎng)絡(luò)的新的設(shè)備視為可疑對(duì)象。但現(xiàn)在，這已經(jīng)不再是一個(gè)威脅指示。

企業(yè)應(yīng)該鏈接設(shè)備到其用戶，并將變更視為可疑事件。他表示，“你可能想要標(biāo)記設(shè)備，但你更應(yīng)該將設(shè)備與用戶聯(lián)系在一起，因?yàn)槿绻規(guī)业钠桨咫娔X來(lái)上班，其他人不應(yīng)該使用它來(lái)登錄。”