安全日志分析的五种类型
【注:本文转载自51CTO:http://netsecurity.51cto.com/art/201309/412145.htm】
无论是提高性能、收集商业情报还是检测安全威胁,日志管理可以归结为三个步骤:收集日志、存储数据和分析数据来发现模式。然而,虽然收集和分析日志数据是SANS协会确定的20个关键安全控制之一,大多数企业并没有定期收集和分析其日志,除非有法律明文规定。IT管理和监控软件制造商SolarWinds的产品经理Nicole Pauls表示,面对大规模数据,信息技术官很困惑,不知道从哪里开始。
Dell SecureWorks的反威胁部门运营和开发主管Ben Feinstein表示,良好的安全日志分析主要围绕四个原则。首先,企业需要监控正确的日志,包括来自防火墙、虚拟专用网络(×××)设备、web代理服务器和DNS服务器的数据。接下来,安全团队必须收集企业网络内“正常”数据。第三,分析师必须能够识别其日志文件中表明存在***的数据。最后,安全团队必须有一个程序用于响应日志分析中确定的事件。
Feinstein表示,“如果你的安全团队不知道可疑行为是什么样子,那么把所有的日志都放到SIEM系统里是没有意义的。”根据安全专家表明,企业应该检查下面五个类型的事件:
1. 用户访问异常
Active Directory域控制器的Windows安全日志和记录是发现网络中可疑活动的第一个位置。权限更改、用户从远程未知地点访问,以及用户访问一个系统访问另一个系统,都可能是可疑活动。
惠普ArcSight公司产品营销经历Kathy Lam表示,“当我们在看***类型,以及***者如何进入环境时,他们通常冒充用户在网络内潜伏数月,甚至超过一年,通过查看正常活动基准,以及当前活动与基准的对比,就能找出可疑活动。”
尤其重要的是特权账户,即在网络中多个系统具有管理员权限的用户。由于这些账户在网络中拥有更多的权利,企业应该更密切地监控这些账户。
2. 与威胁指标匹配的模式
公司还应该对比其日志中的数据与他们能够获得的威胁指标--无论是通过建立黑名单,还是更全面的威胁情报服务。
威胁指标可疑帮助企业识别防火墙、DNS服务器或者web代理服务器日志中可疑的IP地址、主机名称、域名和恶意软件签名。他指出:“web代理服务器日志对网络流量有着强大的可视性,即你的端点系统是如何连接到网络的。”
3.计划外的配置变更
获取对系统的访问的***者通常会尝试更改配置来进一步***,以及在网络中获得立足点。SolarWinds公司副总裁Sanjay Castelino表示,由于大多数企业限制配置更改到每周、每月或者每季度的有限时间内,这些配置更改(无论是打开系统还是关闭日志记录功能)都可能表明***正在进行中。
在某些情况下,这种分析可以帮助企业发现***。用于管理安全产品的规则通常非常复杂,我们很难通过简单的分析来检查这些规则是否是恶意。相反地,安全团队很容易标记出任何在特定维护期外的变更。
4. 奇怪的数据库传输
因为数据库是企业基础设施的重要部分,企业应该监测数据库传输情况来发现可疑活动。例如,试图选择和复制大范围数据的请求应该得到密切关注。
此外,监控数据库通信是不够的。虽然记录数据传输情况可能会影响数据库性能,但在调查数据泄漏事故时,这些记录是非常有价值的。安全管理公司Solutionary的工程研究团队研究主管Rob Kraus表示:“当客户问我们哪些记录被访问了,我们可疑证明哪些记录没有被访问,足迹通常会牵引到数据库。如果没有记录这些数据,这会带来真正的挑战,你也说不清到底哪些记录被动过。”
5.新设备用户组合
在移动设备和携带自己设备到工作场所趋势出现之前,企业可以将任何连接到网络的新的设备视为可疑对象。但现在,这已经不再是一个威胁指示。
企业应该链接设备到其用户,并将变更视为可疑事件。他表示,“你可能想要标记设备,但你更应该将设备与用户联系在一起,因为如果我带我的平板电脑来
上班,其他人不应该使用它来登录。”
【参考】
SANS:2013年度安全分析(日志管理)调查报告
打开日志管理的潘多拉盒子
SIEM比以往更重要的5个原因
最应关注的五类安全威胁
SIEM不仅要买对,还要用对
关于日志采集的争论
转载于:https://blog.51cto.com/yepeng/1331742
安全日志分析的五种类型相关推荐
- 华为——OSPF单区域实验配置,实验抓包分析,五种报文分析,六种LSA介绍,以及如何建立邻接关系的七种状态
华为--OSPF单区域实验配置,实验抓包分析,五种报文分析,六种LSA介绍,以及如何建立邻接关系的七种状态 前言 一:OSPF简介 1.1:工作原理 1.1.1:架构介绍 1.1.2:信息传递 1.1 ...
- 在Oracle中CHAR,NCHAR,VARCHAR,VARCHAR2,NVARCHAR2这五种类型的区别
[在Oracle中CHAR,NCHAR,VARCHAR,VARCHAR2,NVARCHAR2这五种类型的区别 ] 1.CHAR(size)和VARCHAR(size)的区别 CHAR为定长的字段,最 ...
- StatsD 五种类型数据发送形式拟测试
statsd 五种类型数据发送形式拟测试 StatsD Metric Types Counting gorets:1|c This is a simple counter. Add 1 to the ...
- 做短视频可以选哪些领域?推荐五种类型短视频,选对方向很重要
做短视频可以选哪些领域?推荐五种类型短视频,选对方向很重要 刚刚进入短视频行业的小伙伴们想必都在苦恼如何选择短视频领域,毕竟想要长久发展短视频的话,那么就必须要选对方向,按照选择好的方向一直走,才能够 ...
- 什么是通知?有哪五种类型的通知?
通知是个在方法执行前或执行后要做的动作,实际上是程序执行时要通过SpringAOP框架触发的代码段. Spring切面可以应用五种类型的通知: a.before:前置通知,在一个方法执行前被调用. b ...
- 什么内容的短视频可以吸引粉丝?分享五种类型短视频,供你选择
什么内容的短视频可以吸引粉丝?分享五种类型短视频,供你选择 短视频的制作其实并不难,主要难点还是在于短视频的内容选题.引流等.那么今天我们就一起来着重的了解一下看什么内容的短视频可以吸引粉丝,这里简单 ...
- linux下的文件可以分为哪五种类型,LINUX系统文件类型分类
使用LINUX过程中,时常会对文件进行操作.但是linux中文件究竟有哪些分类呢?今天让我们大家来总结一下吧! 概述: linux文件可以分为五种类型,分别为:普通文件.目录.字符设备或块设备.套接口 ...
- 计算机控制系统的五种类型,计算机控制系统习题(1-5章
<计算机控制系统习题(1-5章>由会员分享,可在线阅读,更多相关<计算机控制系统习题(1-5章(9页珍藏版)>请在人人文库网上搜索. 1.计算机控制系复习题(1-5章)第一章 ...
- OKR案例分析,哪种类型的企业适合OKR?
OKR是整个企业紧密联结起来的重要工具,也是一种企业.团队.员工个人目标设定与沟通的方法与实践,同时,还能促进全员思考,形成员工与团队协同工作的思维模式. 从英特尔到谷歌,OKR都是作为全员使用的目标 ...
最新文章
- pycharm代码自动补全功能
- style.display,有点问题
- 桥梁模式和适配器模式的区别
- Linux上的node站点之centos配置nodejs运行环境笔记
- 解决ssh正常登录sftp不能登录的问题
- 【收藏】机器学习数据集列表:你需要收藏!
- 一个企业为什么执行不力?
- 安卓中的数据存储方式以及ContentProvider的简单介绍
- 针式PKM的设计原则
- 工业相机 - - 线阵相机
- 用MFC实现WebGUI--(CDHtmlDialog)
- java.lang.Byte常用方法
- AIO-rk3399j Linux-开机自动连接wifi
- 服务器硬盘如何把硬盘装换到gpt格式化,装GPT硬盘系统的格式转换与diskpart命令使用方法...
- java安装未指定的错误_安装redistributable(x64)出现0x80240017未指定的错误
- 在 Linux 中配置 tftpboot 服务器的 10 个步骤
- 进入中国内地第31年的麦当劳 ,为什么还能不断吸引新消费人群?
- 大型游戏后台实践浅谈
- 网上最全的系统服务,让PF降到50以下(转)
- 华为手机灵敏度设置_华为手机吃鸡灵敏度怎么调
热门文章
- 计算机中丢失msvcp140.dll无法启动此程序怎么办(修复教程)
- 5.0 数据库完整性详解(PRIMARY KEY、REFERENCES、CHECK、CONSTRAINT、DOMAIN、TRIGGER)
- Python(17)python使用tkinter实现一个简单的CSGO幸运转盘抽奖游戏
- 计算机专业选山大还是西工大,王牌专业
- 深圳计算机专业中专学校,深圳中专学校
- 1024程序员节200G资料大放送
- 2023 IAPP影视解析源码
- 代码设置桌面壁纸或者屏保
- 动物识别系统c语言编程,人工智能期末论文-简单动物识别系统的知识表示.doc
- 服务器多网卡多路由策略