企业日志分析 五大问题需重点注意

首页 > 安全 > 企业安全 > 正文
企业安全日志分析 五大问题需重点注意
2013-11-29      0个评论    来源:IT168   作者:邹铮/译
收藏    我要投稿
无论是提高性能、收集商业情报还是检测安全威胁,日志管理可以归结为三个步骤:收集日志、存储数据和分析数据来发现模式。然而,虽然收集和分析日志数据是 SANS协会确定的20个关键安全控制之一,大多数企业并没有定期收集和分析其日志,除非有法律明文规定。IT管理和监控软件制造商SolarWinds 的产品经理Nicole Pauls表示,面对大规模数据,信息技术官很困惑,不知道从哪里开始。

Dell SecureWorks的反威胁部门运营和开发主管Ben Feinstein表示,良好的安全日志分析主要围绕四个原则。首先,企业需要监控正确的日志,包括来自防火墙、虚拟专用网络(VPN)设备、web代理 服务器和DNS服务器的数据。接下来,安全团队必须收集企业网络内“正常”数据。第三,分析师必须能够识别其日志文件中表明存在攻击的数据。最后,安全团 队必须有一个程序用于响应日志分析中确定的事件。

Feinstein表示,“如果你的安全团队不知道可疑行为是什么样子,那么把所有的日志都放到SIEM系统里是没有意义的。”根据安全专家表明,企业应该检查下面五个类型的事件

1. 用户访问异常

Active Directory域控制器的Windows安全日志和记录是发现网络中可疑活动的第一个位置。权限更改、用户从远程未知地点访问,以及用户访问一个系统访问另一个系统,都可能是可疑活动。

惠普ArcSight公司产品营销经历Kathy Lam表示,“当我们在看攻击类型,以及攻击者如何进入环境时,他们通常冒充用户在网络内潜伏数月,甚至超过一年,通过查看正常活动基准,以及当前活动与基准的对比,就能找出可疑活动。”

尤其重要的是特权账户,即在网络中多个系统具有管理员权限的用户。由于这些账户在网络中拥有更多的权利,企业应该更密切地监控这些账户。

2. 与威胁指标匹配的模式

公司还应该对比其日志中的数据与他们能够获得的威胁指标--无论是通过建立黑名单,还是更全面的威胁情报服务。

威胁指标可疑帮助企业识别防火墙、DNS服务器或者web代理服务器日志中可疑的IP地址、主机名称、域名和恶意软件签名。他指出:“web代理服务器日志对网络流量有着强大的可视性,即你的端点系统是如何连接到网络的。”

3.计划外的配置变更

获取对系统的访问的攻击者通常会尝试更改配置来进一步攻击,以及在网络中获得立足点。SolarWinds公司副总裁Sanjay Castelino表示,由于大多数企业限制配置更改到每周、每月或者每季度的有限时间内,这些配置更改(无论是打开系统还是关闭日志记录功能)都可能表 明攻击正在进行中。

在某些情况下,这种分析可以帮助企业发现攻击。用于管理安全产品的规则通常非常复杂,我们很难通过简单的分析来检查这些规则是否是恶意。相反地,安全团队很容易标记出任何在特定维护期外的变更。

4. 奇怪的数据库传输

因为数据库是企业基础设施的重要部分,企业应该监测数据库传输情况来发现可疑活动。例如,试图选择和复制大范围数据的请求应该得到密切关注。

此外,监控数据库通信是不够的。虽然记录数据传输情况可能会影响数据库性能,但在调查数据泄漏事故时,这些记录是非常有价值的。安全管理公司 Solutionary的工程研究团队研究主管Rob Kraus表示:“当客户问我们哪些记录被访问了,我们可疑证明哪些记录没有被访问,足迹通常会牵引到数据库。如果没有记录这些数据,这会带来真正的挑 战,你也说不清到底哪些记录被动过。”

5.新设备用户组合

在移动设备和携带自己设备到工作场所趋势出现之前,企业可以将任何连接到网络的新的设备视为可疑对象。但现在,这已经不再是一个威胁指示。

企业应该链接设备到其用户,并将变更视为可疑事件。他表示,“你可能想要标记设备,但你更应该将设备与用户联系在一起,因为如果我带我的平板电脑来上班,其他人不应该使用它来登录。”

转载于:https://www.cnblogs.com/diyunpeng/p/5024403.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/397131.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

python学习笔记(一):python入门

上周六终于开始接触心心念念的python了,本人学习语言算是零基础,java语法比较复杂,所以选择了一个语法相对还是比较简单,而且现在使用也是越来越广泛的python进行了学习。下面就言归正传吧 在学习python之前先来了解下现今比较流行…

怎么验证proftpd安装成功_英雄联盟手游泰服安卓账号怎么注册

英雄联盟手游中泰服安卓账号怎么注册?泰服安卓账号的注册流程是怎样的?泰服安卓账号的注册与其他服安卓账号的注册是否一致?接下来就给介绍下手游中泰服安卓账号的注册,希望对各位玩家能有所帮助。英雄联盟游戏新泰服安卓账号怎样…

oracle实现mysql的if_oracle中decode函数 VS mysql中的if函数和case函数

oracle中有decode函数,如下:select sum(decode(sex,男,0,1)) 男生数 from school;统计男生数目,含义为:decode()中sex字段为男时,用1代替,然后计算总和而mysql中没有该函…

visio对象放入word显示不全_办公人士必学visio技能 手把手教你使用visio绘制项目全景图!...

Hi,大家好!我是爱踢汪。今天本汪想问问你用什么总结项目,Word、PPT还是视频?下面我们聊聊画图。画图固然是为了好看,视觉上的冲击加深印象。更重要的是,图像模型带来的“潜台词”,有意想不到的效果&#xf…

mongoDB操作详细

简介 它和我们使用的关系型数据库最大的区别就是约束性,可以说文件型数据库几乎不存在约束性,理论上没有主外键约束,没有存储的数据类型约束等等 关系型数据库中有一个 "表" 的概念,有 "字段" 的概念,有 "数据条目" 的概念 MongoDB中也同样有以上…

mysql 存储过程 on_MySQL存储过程的权限问题小结

MySQL的存储过程,没错,看起来好生僻的使用场景。问题源于一个开发同学提交了权限申请的工单,需要开通一些权限。本来是一个很正常的操作,但在我来看是比较着急且紧迫的,说来惭愧,忙着方向规划和开发的事情&…

mysql索引引擎_mysql搜索引擎和索引那些事

mysql的存储引擎三种存储方式**InnoDB **(默认)一个文件存储表结构,一个存储数据和目录(索引)# 一个文件 book_name | author| press | price | pub_date frm文件 frame的缩写# 另一个文件(数据 目录)# | 倚天屠龙记 | egon | 北京工业地雷出版社 | 70.00 | 2019-07…

深度ip转换器手机版app_房串串经纪人版app下载-房串串经纪人版app手机版 v1.0.0...

房串串经纪人版app:专门为房产经纪人打造的辅助办公软件,提供的功能非常的全面,涵盖了房产服务过程中的各个环节,随时可以手机在线处理自己的日常工作,提高了工作的效率,操作很简单,让你更好的实…

netduino之电源参考电路MC33269DT-5.0G

手里有块netduino的板子,一直闲置未用,netduino具体是什么不知道的就百度吧,我这也不是主要讲netduino开发的,简单说就是用.net开发硬件,了解到netduino也是原来学过C#,当然我主要的工作还是嵌入式硬件开发…

PowerShell使用教程

一、说明 1.1 背景说明 个人对PowerShell也不是很熟悉,开始的时候就突然看到开始菜单中多了个叫PowerShell的文件夹,后来一点就看到某个教程视频说PowerShell很厉害但也没怎么听,再后来就看到kali也有了一些PowerShell的脚本这才意识到PowerS…

python Gunicorn

1. 简介 Gunicorn(Green Unicorn)是给Unix用的WSGI HTTP 服务器,它与不同的web框架是非常兼容的、易安装、轻、速度快。 2. 示例代码1 def app(environ, start_response):data b"Hello World\n"start_response("200 OK", [("Content-Type…

如何使处于不同局域网的计算机实现远程通信_小区自来水二次加压泵站远程监控系统方案...

一、小区自来水二次加压泵站远程监控系统方案项目概述随着城市高效快速地发展,市区规模越来越大,小区二次加压泵房将继续增加,供水公司二次加压泵房管理工作将更加繁重。目前小区二次加压供水方式主要有两种,一种是不锈钢水箱不锈…

postgresql返回行数_怎么优化你的SQL查询?以PostgreSQL为例

实际工作中,我们每个人难免都会要写SQL,执行SQL,但是有时时候执行非常慢,甚至获得不了结果。这时候你会怎么办?放弃?去苦口婆心的求隔壁房间胡子擦擦的猥琐DBA大叔?NO,正确方法是先检…

echarts 词云_python Flask+爬虫制作股票查询、历史数据、股评词云网页

自学python的数据分析,爬虫后,花了几天时间看视频学习Flask做了一个简单的股票查询网页。本来还想着加入一些其他功能,比如财务指标分析,舆情分析,最完美的想法是做成一个股票评分系统,输入股票代码可以自动…

JavaSE基础知识(6)—异常和异常处理

一、异常的理解及体系结构图 1、理解 异常:程序运行过程中发生的不正常现象。java中的错误:   语法错误   运行异常   逻辑错误 2、体系图 java程序在执行过程中所发生的异常分为两类: Error:Java虚拟机无法解决的严重问题。…

peripheralStateNotificationCB

1 /*********************************************************************2 * fn peripheralStateNotificationCB 外围设备 状态 通知 回调函数3 *4 * brief Notification from the profile of a state change. 通知来自于profile的状态改变!5 *6 * …

Jsp2.0自定义标签(第二天)——自定义循环标签

今天是学习自定义标签的第二天&#xff0c;主要是写一个自定义的循环标签。 先看效果图&#xff1a; 前台页面Jsp代码 <% page language"java" contentType"text/html; charsetUTF-8"pageEncoding"UTF-8"%> <%taglib prefix"myout…

正则表达式以什么开头以什么结尾_股票hk是什么意思,股票st开头是什么意思,新通联股票...

股票hk是什么意思,股票st开头是什么意思,新通联股票股票hk是什么意思,股票st开头是什么意思,新通联股票我们首先解决时间跨度问题&#xff1a;如果您为诸如退休之类的遥远目标投资&#xff0c;则应主要投资股票(同样&#xff0c;我们建议您通过共同基金投资)。心理控制第一&…

电脑显示连接了网络但是不能上网_为什么电脑插上网线显示已连接却上不了网...

尝试断一下网&#xff0c;或者重启一下系统看一下是否解决&#xff1b;也可能是开启了网络代理&#xff0c;可以重置一下浏览器或者网络设置&#xff1b;还可以使用安全管家软件&#xff0c;扫描一下网络设置。以下是详细介绍&#xff1a;1、有时候系统显示已经连接其实并没有真…

python getopterror_python3 getopt用法

python channel_builder.py -s /Users/graypn/ -d /Users/graypn/Documents -m 7 --outreport/xx.html参数也分长格式和短格式短格式&#xff1a;-s长格式&#xff1a;--sourceopts, args getopt.getopt(sys.argv[1:], "hs:d:m:v:p:c:",["help", "sr…