【注：本文转载自51CTO：http://netsecurity.51cto.com/art/201309/412145.htm】

无论是提高性能、收集商业情报还是检测安全威胁，日志管理可以归结为三个步骤：收集日志、存储数据和分析数据来发现模式。然而，虽然收集和分析日志数据是SANS协会确定的20个关键安全控制之一，大多数企业并没有定期收集和分析其日志，除非有法律明文规定。IT管理和监控软件制造商SolarWinds的产品经理Nicole  Pauls表示，面对大规模数据，信息技术官很困惑，不知道从哪里开始。

Dell SecureWorks的反威胁部门运营和开发主管Ben  Feinstein表示，良好的安全日志分析主要围绕四个原则。首先，企业需要监控正确的日志，包括来自防火墙、虚拟专用网络(×××)设备、web代理服务器和DNS服务器的数据。接下来，安全团队必须收集企业网络内“正常”数据。第三，分析师必须能够识别其日志文件中表明存在***的数据。最后，安全团队必须有一个程序用于响应日志分析中确定的事件。

Feinstein表示，“如果你的安全团队不知道可疑行为是什么样子，那么把所有的日志都放到SIEM系统里是没有意义的。”根据安全专家表明，企业应该检查下面五个类型的事件：

1. 用户访问异常

Active  Directory域控制器的Windows安全日志和记录是发现网络中可疑活动的第一个位置。权限更改、用户从远程未知地点访问，以及用户访问一个系统访问另一个系统，都可能是可疑活动。

惠普ArcSight公司产品营销经历Kathy  Lam表示，“当我们在看***类型，以及***者如何进入环境时，他们通常冒充用户在网络内潜伏数月，甚至超过一年，通过查看正常活动基准，以及当前活动与基准的对比，就能找出可疑活动。”

尤其重要的是特权账户，即在网络中多个系统具有管理员权限的用户。由于这些账户在网络中拥有更多的权利，企业应该更密切地监控这些账户。

2. 与威胁指标匹配的模式

公司还应该对比其日志中的数据与他们能够获得的威胁指标--无论是通过建立黑名单，还是更全面的威胁情报服务。

威胁指标可疑帮助企业识别防火墙、DNS服务器或者web代理服务器日志中可疑的IP地址、主机名称、域名和恶意软件签名。他指出：“web代理服务器日志对网络流量有着强大的可视性，即你的端点系统是如何连接到网络的。”

3.计划外的配置变更

获取对系统的访问的***者通常会尝试更改配置来进一步***，以及在网络中获得立足点。SolarWinds公司副总裁Sanjay  Castelino表示，由于大多数企业限制配置更改到每周、每月或者每季度的有限时间内，这些配置更改(无论是打开系统还是关闭日志记录功能)都可能表明***正在进行中。

在某些情况下，这种分析可以帮助企业发现***。用于管理安全产品的规则通常非常复杂，我们很难通过简单的分析来检查这些规则是否是恶意。相反地，安全团队很容易标记出任何在特定维护期外的变更。

4. 奇怪的数据库传输

因为数据库是企业基础设施的重要部分，企业应该监测数据库传输情况来发现可疑活动。例如，试图选择和复制大范围数据的请求应该得到密切关注。

此外，监控数据库通信是不够的。虽然记录数据传输情况可能会影响数据库性能，但在调查数据泄漏事故时，这些记录是非常有价值的。安全管理公司Solutionary的工程研究团队研究主管Rob  Kraus表示：“当客户问我们哪些记录被访问了，我们可疑证明哪些记录没有被访问，足迹通常会牵引到数据库。如果没有记录这些数据，这会带来真正的挑战，你也说不清到底哪些记录被动过。”

5.新设备用户组合

在移动设备和携带自己设备到工作场所趋势出现之前，企业可以将任何连接到网络的新的设备视为可疑对象。但现在，这已经不再是一个威胁指示。

企业应该链接设备到其用户，并将变更视为可疑事件。他表示，“你可能想要标记设备，但你更应该将设备与用户联系在一起，因为如果我带我的平板电脑来

上班，其他人不应该使用它来登录。”

【参考】

SANS：2013年度安全分析（日志管理）调查报告

打开日志管理的潘多拉盒子

SIEM比以往更重要的5个原因

最应关注的五类安全威胁

SIEM不仅要买对，还要用对

关于日志采集的争论