日誌管理
隨着信息威脅的量與各類的增加,組織必須通過大量的數據篩選和異常檢測,識別真正的威脅。
傳統的處理不斷增長的日誌和事件數據的方法依賴基礎的日誌收集工具或者昂貴的大規模地部署SIEM系統
日誌收集準則:
A、日誌管理是終端檢測和響應的核心內容:他提供了方便的通道針對興趣事件進行信息診斷,基於事件數據,歷史服務目錄相關的日誌信息和事件,並且可以滿足管理策略與工業標準。
B:安全貿易的JACK:爲了提供這些福利,中心日誌管理系統需要通過操作系統,應用,數據據,IDS/IPS和網絡設備例如防火牆,交換機來收集日誌。
C、請回答這個問題,發生了什麼?這將幫助你更好地理解你的環境,檢測和防禦***,同樣,惡意***者更喜歡掩飾他們的***路徑通過日誌刪除或者重置來隱藏他們的活動,因此檢測到他們找到***是非常重要的。
BOOT CAMP:你自己知道
1、優先第一件事:打開你的日誌,每個重要的系統都有一個日誌你可以啓用,在大量的事件當中,重要的日誌不能啓用,因此重要的數失當檢測和響應新型信息威脅時。
2、建立你的日誌收集:知道哪些數據需要被收集,在大量的組織中,日誌數據將會被收集通過世界性的網絡連接分佈在各個地理位置的設備。
創建一個地圖和架構針對你的日誌收集,包含日誌的位置,類型,除開每天增加的日誌,日誌保留的時間長度作爲活動的和存檔,以及誰訪問了他。
3、使用備份的日誌管理唄,通過增加一個或多個備份的日誌管理員到你的公司,你可以分配日常管理運行工作來滿足你組織的增長需要,日誌副手管理員的作用可以提高表現在給予你基於地理,業務單元或者業務應用劃分日誌。
4、準確地收集日誌:每一份日誌都包含獨一無二的數據,當結合在一起時,累積起來的數據將會提供對新型網絡威脅的洞察能力,在一個分支事件當中,你將需要所有的終端數據:網絡設備日誌,操作系統日誌,數據庫,應用,服務器以至更多的日誌,這些收集過程需確保當系統,設備,或者其他資產壞損時,你可以100%地確保你的日誌數據是安全的。
5、集中存儲:因爲數據很容易被訪問到,各路收集日誌和事件是非常重要發,針對快速調查,取證和檢測、響應終端威脅,好的日誌管理產品像tripwire log center可以收集深度的,詳細的日誌數據同樣地,終端事件和網絡活動信息,並存儲這些信息在一個大模型數據報告與分析的庫當中。
法院調查一個事件發生的原因與方式可以利益於一套日誌與事件管理檔案。當一個調查在路上,他將有助於日誌管理工具可以判斷檔案的日間長度,並給予解封日誌數據來給予調查和審計,針對僱傭一個高水平的壓縮以減少存儲空間來講也是十分有用的,與此同時保護日誌免遭篡改。
ADVANCED TRAINING
6、關聯規則:識別新型信息威脅通過識別可疑的事件基於系統改變,弱配置以及脆弱性的綜合考慮,大量的產品通過拖放的方式來快速定義和定製事件的相關性規則以及過濾和檢測異常現象,可疑行爲,改變以及已知的威脅模式與IoC,除此之外,你可以預定義惡意行爲與遺漏模型。
7、告警:當你的日誌匹配相關連的規則,高級日誌管理產品可以識別可能事件並快速地回顧通過使用告警與響應開關,這將減少特殊需要特殊專業知識與資源來創建關聯性規則在衆多的複雜格式當中的必要。
COMBAT READY
8、一體化:一體化你的日誌管理解決方案通過安全配置管理產品比如tripwire enterprise,以及漏洞管理產品比如tripwire ip360來爲你的組織提供例外的安全與業務內容,這有助於優先考慮最重要的威脅。
一體化的日誌管理系統可以使用關聯規則來檢測和告警影響系統安全狀態的可疑事件。
9、綜合業務,安全,風險,用戶內容:綜合業務和用戶內容可以讓你輕鬆地監控資產和用戶,什麼時候綜合,可可根據近距離的觀察,例如,你可能想要仔細地監控最高價值的資產來記錄哪個承包商進入過,你可以進一步優化風險通過關聯可疑事件。這些事件可以通過 tripwire log center,通過tripwire ip360進行脆弱性識別,通過tripwire enterprise檢測可疑的變更。例如,當使用一個脆弱性管理方案像tripwire ip 360,這個日誌管理解決方案可以提供增長網絡和威脅意識在你有環境當中,結合脆弱性信息可提供洞察力,這可以讓你識別風險和優先考慮你的安全精力。
10、收集和轉發:爲轉發相關和可按數據到你的SOC和第三方工具例如SIEM,威脅智能解決方案,預過濾日常數據來識別不正常和IOC模型。高級日誌管理解決方案可以過濾和檢測不正常,可疑的行爲和變更以及基於威脅和IoC數據的模型。
11、自動化:擴展相關規則來提供告警和補救,識別人事以及資源需要被通知,當特殊的情況被識別到,然後延伸相關性來聯繫人事責任調查和修補告警,同樣考慮腳本響應針對關聯規則可以自動在移除,減輕或者加固你的終端。