在使用日誌的過程中,人們常常會面臨五大誤區。克服這些誤區,不僅可以大大提升安全設施的價值,而且能夠及時化解潛在風險。
爲了應對不斷涌現的安全威脅,許多企業都部署了多種安全設備。這些設備生成大量的日誌信息。爲了利用這些信息,許多企業還部署了日誌收集和分析程序。即使如此,許多用戶仍然認爲安全設備的作用沒有達到期望值。之所以發生這種情況,常常是由於人們在日誌分析中的五個誤區所造成的。
不查看日誌
許多用戶都會犯一個低級錯誤—不查看日誌。雖然收集和存儲日誌很重要,但只有經常查看日誌,瞭解網絡環境中發生了哪些情況,才能及時做出響應。一旦部署了安全設備並且收集了日誌,用戶需要對其進行持續監控,以及時發現可能發生的安全事件。
一些用戶只在重大事件之後才審查日誌,儘管這些用戶能夠獲得事後分析的好處,但沒能獲得事前預防的好處。主動查看日誌有助於用戶更好地實現安全設施的價值,瞭解***行爲將在何時發生並及時採取措施。
許多用戶總愛抱怨***檢測系統(IDS)不能起作用。造成這一問題的重要原因就是,IDS經常產生誤報,使人們無法根據其警告信息採取行動。如果人們將IDS日誌與其他日誌(如防火牆日誌)進行全面關聯分析,就能充分發揮IDS的作用。
沒區分日誌的優先次序
日誌已經收集完畢,存儲時間也足夠長,並且日誌格式也統一了,接下來網管員應該從何處着手呢?建議用戶設法獲得高水平的摘要以查看最近的安全事件。這需要克服另外一個錯誤,即不區分日誌記錄的優先次序。一些網管員理不清優先次序就研究大量的日誌數據,結果就會半途而廢。
有效優先化的第一步就是對策略進行定義。回答下列問題會有助於定義策略:“最擔心什麼?”“***得逞了嗎?”“以前發生過這種***嗎?” 可幫助用戶開始制定優先化策略,減輕用戶每天收集日誌數據的負擔。
日誌格式不統一
日誌格式不統一十分普遍:有的基於簡單網絡管理協議,有的則基於Unix系統。缺乏統一的日誌格式,導致企業需要不同的專家來從事日誌分析,這是因爲並非所有通曉Unix日誌格式的管理人員都能看懂Windows事件日誌記錄,反之亦然。多數網管員通常只對少數系統熟悉,將設備生成的日誌信息轉換爲統一的格式有利於網管員進行關聯分析和進行決策。
日誌存儲時間太短
許多用戶認爲自己擁有進行監控和調查所需要的所有日誌,但是在遭遇安全事件之後才發現,相應的日誌信息已經被刪除了。安全事件通常是在***或濫用行爲發生後很長時間才被發現。 如果費用緊缺,建議用戶將保留的日誌分爲兩個部分:短期的在線存儲和長期的離線存儲。將舊日誌信息存儲在磁帶中,既能節約離線存儲的成本,還能長久保存以備未來分析。
只查找已知的不良信息
即使最先進和最注意安全的用戶有時也會陷入網絡陷阱。這種網絡陷阱十分陰險,會嚴重降低日誌分析的價值。如果用戶只查看已知的不良信息時,這種事情就會發生。
交換機在查找日誌文件中已定義的不良信息時,顯得十分有效。然而要充分實現日誌數據的價值,就需要進行日誌的深度挖掘。在沒有預先想定所需要的不良信息前提下,用戶可以在日誌文件中發現一些有用信息,包括遭受***和感染的系統、新的***、內部濫用和知識產權偷竊等。怎樣才能提高發現潛在***行爲的機率呢?這需要藉助數據挖掘方法,數據挖掘可以使用戶快速查找日誌數據中的異常信息。