取证 c语言实现日志导出_日志与日志不一样:五种不能忽略的日志源

给日志源分出主次大有利于开展有效事件响应。

2a52918412f0d65871a7b35469839c01.png

就像分诊护士一样,安全人员也必须给数据分出个优先主次,以帮助他们更好地识别问题,使公司企业及其数据和设备能够避免入侵者和网络攻击的伤害。

但是,记录和监视IT环境中的所有相关事件并不简单。举个例子,一些常见日志源,比如服务器、防火墙、活动目录(AD)、入侵检测系统(IDS)和终端工具,就很容易接入和解析。但对事件响应(IR)尤其有价值的其他源,就因所需工作量太大而难以大规模管理,也极少接入。

事实上,451Research对150家大型企业的调查研究发现,企业日志产出系统生成的日志中,只有不到一半(45%)被其安全信息与事件管理(SIEM)平台接入。这意味着企业安全团队面临缺失关键信息的风险,一些指征入侵的指标可能会被错过,企业整体安全态势受到影响

为最大化日志效益,公司企业必须评估和调适现有过程,以符合当前需求和威胁状况,并考虑记录往往被忽略掉的对IR和威胁追捕价值无限的事件源。下面5个日志源值得安全团队加以重视。

1. 数据库日志

数据库日志难是有原因的。管理员通常选择不开启审计之类功能,因为此类功能可能会影响到服务器的性能。企业环境中数据库服务器的数量通常很庞大,审计数据库和表非常困难。而且,如果第三方创建的数据库对数据和表结构查阅做了限制,企业安全团队也难以访问和查看数据库中发生的操作。

想在不开启审计功能的情况下获得足够的数据库可见性,如果数据库活动监视可用的话,可以考虑关联内置规则和警报到公司SIEM平台。还可以创建监测特定行为的预置过程,写下带有违规记录的ID、日期和时间的事件日志以触发警报。

2. Web服务器日志

《2018威瑞森数据泄露调查报告》指出,数据泄露的几大主要原因中,Web应用中的漏洞占据了最大比例——Web应用通常可以访问高度敏感的客户账户信息。不幸的是,安全团队却最为缺乏Web服务器日志

另外,与微软IIS或Apache之类原生Web服务器日志不同,Web服务器日志往往以多行或定制格式很不标准地记录到文本文件或数据库中,这就让Web服务器日志的解析变得异常困难。如果你使用标准Web服务器日志,要确保启用了所有相关域,因为IIS的默认W3C设置不捕获一些重要元素,比如页面大小和cookie值。Web应用防火墙(WAF)事件日志已经关注了潜在恶意行为。

3. DNS日志

DNS提供用户访问网站的丰富信息,显示有无恶意应用在访问命令与控制(CnC)站点。但因为防火墙往往允许DNS数据出站,DNS也是用于渗漏数据的常见隧道协议。因数据量巨大,不标准的多行格式,以及导出难度,DNS日志记录与解析工作颇为棘手。

可以考虑采用BIND、Infoblox,甚至微软的新 Analytical Event Logging方法——使用更标准的日志格式而不是传统的调试和平面文件导入。新的Analytical日志方法比调试方法性能高得多,且日志以常见的 Windows Event Log 格式存储。

4. 云平台日志

AWS、谷歌云平台、微软Azure、Salesforce和Dropbox等云服务越来越多地被公司企业用于存储数据和应用。但是此类服务大多不具备统一的日志格式,需要不同的解析器,记录平台上托管的各个应用产生的事件也需不同记录方法。对大多数团队而言,为如此之多的事件构造解析器就十分困难了,但若在接入之前有效预过滤数据,就能通过只处理可执行事件而防止SIEM或日志工具过载。

云应用安全代理(CASB)解决方案或许不是无所不包的企业平台,但能提供应用或服务级的细粒度审计功能,需作为完整的云平台加以日志和监视上的考虑。CASB是事件响应和取证调查的必备工具,因为报警云服务未授权访问可以预示潜在的内部人威胁。

5. 物理安全日志

监视摄像系统、生物特征/卡门禁读取器和警报系统的内部人威胁日志也非常有价值。这些日志源的信息与来自服务器、工作站、防火墙、VPN和远程访问设备的证据相关联,就可以揭示登录凭证是否被盗,及时确认内部威胁的具体位置。不过,物理安全团队和IT安全团队之间通常都没有合作,使得不同日志源的信息难以收集和关联起来。除此之外,迥然不同的系统之间也无法实现日志摄入。安全团队的关注重点应该放在远程设施的未授权物理访问,访客和承包商对未授权区域的访问,以及下班时间警报触发等事情上。

保持警惕

上述5个日志源有助于提升对整个企业安全环境的可见性,但公司企业需灵活处理其安全产品产生的新警报。451Research报告发现,43%的公司企业无法应对至少1/4的警报,近半数公司企业称其SIEM、终端检测与响应和其他数据捕获系统让他们的安全运营团队疲于应付。

最好是能够为所有可能的日志源创建路线图,令IT安全团队与受影响的业务部门合作以设立日志优先级,将日志摄入所需工作量及其能够缓解的潜在风险纳入考虑。事先搞好安全团队与数据或应用拥有者之间的协作,可以确保双方能够一起审查可执行事件类型,并发现日志源拥有者可能需要更多可见性的地方。

451 Research 的调查:

https://protect-eu.mimecast.com/s/kuoWCJy99clWo3lhG5fxp

《2018威瑞森数据泄露调查报告》:

https://protect-eu.mimecast.com/s/rLytCK1VVsPykzPU3G1oJ?domain=enterprise.verizon.com

相关阅读

消痕匿迹的黑客:论日志与流量模式备份的重要性

f2b367562e486a0b78f1ae03192e11af.png

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/506306.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

codesoft指定打印机打印_巧用win32print来控制windows系统打印机并推送打印任务

小爬最近接到的一个需求是:将windows系统下的打印任务批量有序传输给网络打印机,实现批量有序打印。用户先从公司的OA(B/S模式)系统下 打印指定内容的表单以及表单中的附件内容。这个问题可以这样分解:1、抓包,得到OA对应的任务接…

crmeb pc端模板下载_PC端人人影视下载速度如何提高

首先下载最新版本的人人影视我的是这个,右下角版本号1022然后在下载设置那里把连接数调高一点大致就这样我的就是调了一下然后下载速度高了许多,刚开始只有1M左右的速度,现在4,5M每秒

android 编辑自定义可编辑表格,smart 框架 列表 可编辑表格

可编辑表格常用属性colModel: [{label: "主键ID", name: "hellop1",hidden:true},{label: "列明", name: "hellop2",align: "center", editable: true, edittype: text, editrules: { required: true } }editable&#xff1…

dos虚拟机如何全屏显示_实用工具 | 虚拟机软件VirtualBox详细使用介绍

前言:搞自动化控制的工程师,要擅于利用工具和软件,其中,虚拟机就是很好的工具,安装操作系统以后,就相当于多了一台电脑,可以用来测试网络,测试软件,或者直接用来调试设备…

axure原型案例_Axure RP9原型案例:制作一个可以滑动的菜单

摘要:在PC端的产品中我们会常常见到滑动式菜单,当鼠标移入菜单上方,向下或向右自动滑动弹出子菜单,当页面信息层级较多或功能较多时,在产品设计时经常会用到这种滑动式菜单。今天就和大家分享如下制作滑动式菜单的交互…

一会404一会500_没网络就是404?这锅可不能乱背!

在那个房价未突破天际,一台计算机还可以占着几间房的年代。数据库被存放在一个神秘的房间中。如果无法找到请求者所需要的文件,用户将会得到file not found的信息。而这件房间的门牌就是404。404https://www.zhihu.com/video/1168484640850579456当然以上…

android8 呼吸灯,红米note8pro呼吸灯颜色如何设置?

红米note8pro支持呼吸灯功能,当有未读通知的时候,指示灯就会闪烁提醒。此外,我们还可以根据自己的喜好设置呼吸灯的颜色,下面为大家带来详细的设置教程。红米note8pro怎么设置呼吸灯颜色1、首先,进入手机桌面&#xff…

java string 返回匹配正则的字符串的起始位置_【Python】正则表达式

概述正则表达式是一个特殊的字符序列,它能帮助你方便的检查一个字符串是否与某种模式匹配。 Python 自1.5版本起增加了re 模块,它提供 Perl 风格的正则表达式模式。re 模块使 Python 语言拥有全部的正则表达式功能。 compile 函数根据一个模式字符串和可…

html九图拼图游戏代码,HTML5拼图游戏

拼图游戏介绍 拼图游戏将一幅图片分割成若干拼块并将它们随机打乱顺序。当将所有拼块都放回原位置时,就完成了拼图(游戏结束)。 在“游戏”中,单击滑块选择游戏难易,“容易”为3行3列拼图游戏,中间为一个4行4列拼图游戏&#xff0…

access驱动程序_Linux驱动程序学习二 (续) scull 源码在内核5.4.0上的编译调试

《LINUX设备驱动程序》第三章提供了源码scull,但是由于我用的是5.4.0内核,书中的是2.6.10内核,内核发生了很大的变化,因此编译scull源码花费了不少时间,下面是编译调试记录。(这个编译调试记录应该是目前网络上适应内核版本最高的,所以也希望给近期加入《…

android评论嵌套,android 嵌套的listview示例(可参照实现朋友圈评论)

android 嵌套的listview示例(可参考实现朋友圈评论) 最近在项目中用到listview中再嵌套一个listview,两层也有监听,都没有问题。其实,主要解决里面那一层的listview的高度计算就可以,外面那一层listview自动计算。加上里面那层展开…

捷达vs7测试_捷达VS5话题:防撞钢梁,溃缩梁。第200311期

//封面图,捷达VS5,自中,最近看到网上有些观点有点儿带偏,然后咱们技术群今天也讨论了一下,大家也来听听咱们爱折腾的车主们是怎么看防撞梁的事情的。事情起因是因为大家看到一些网上的拆车视频,说捷达VS5前…

html5 原生拖拽,原生JS实现拖拽效果

这篇文章主要为大家详细介绍了原生JS实现拖拽效果,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下本文实例为大家分享了JS实现拖拽效果的具体代码,供大家参考,具体内容如下想要让整个元…

ov5640帧率配置_逃离塔科夫怎么提升帧率 帧率优化建议_单机游戏_游戏攻略

逃离塔科夫有着非常真实的游玩与画面表现,所以这类的多人游戏比较吃配置,那么帧率上不去会十分影响游戏体验,下面请看由“SIIYAM”带来的逃离塔科夫帧率优化建议,一起来看看吧。帧率优化建议:这游戏对于cpu资源分配和内…

js 带笔锋 签字版_年轻人的第一支签字笔? ——米家签字笔评测

emm感觉笔者能咕到自己都怀疑人生惹QAQ…对于小米而言,可能他家中性笔做的还真没手机那么好。但对于劝退这件事,理由其实是很复杂的。但既然决定了要来写这样一点东西,那我也自然要把我知道的和能想到的,略述一二。我们先来看看小…

itools 不支持缩略图下载_PS插件缩略图3.8.0.96安装教程

插件下载[名称]:PS插件『缩略图补丁3.8.0.96』[大小]:1.4 MB [语言]:简体中文 [安装环境]:Win7/Win8/Win10[支持版本]:PS CS6—CC2019[32/64位下载链接]:https://pan.baidu.com/s/1AlOlWzMZfYgdJSlZpbQsmw…

z370支持pcie信号拆分吗_定了!AMD B550主板确认将支持PCIE4.0,多项能力接近X570

近日,华擎B550AM Gaming主板照片和文档泄露,Micro-ATX板型、具备4内存插槽,支持PCIE4.0显卡/固态硬盘。B550芯片组本身无法拆分PCIE4.0信道,所以华擎的这张B550主板在搭配第三代锐龙时只有第一条PCIE插槽(通常安装独立显卡)和M.2固…

mac 修改conda镜像 condarc_win10 修改anaconda源

通过 conda config 命令生成配置文件,这里,我们使用清华的镜像:https://mirrors.tuna.tsinghua.edu.cn/anaconda/pkgs/free/,首先,打开CMD,执行命令:conda config --add channels https://mirro…

倒计时css和js html代码,手把手教你利用CSS和JS创建一个倒数计时器

倒计时功能,在很多地方都会用到,我们平时都习惯去用一些插件来应用,会减少不少的工作量,并且效果也能达到预期。我今天并不是想分享什么倒计时插件,而是自己写一个简单的倒数计时器,有兴趣的同学可以往下看…

手机端使用ghelper_Anki手机端使用指南(一)

【本篇会对如何使用手机端anki进行详解】有小伙伴询问在应用商店搜索anki找不到名字叫“anki”的软件,这里解释一下,在手机端的名字和电脑端的名字不太一样。安卓对应的名字叫做AnkiDroidIOS对应的名字叫做Ankimobile不过其实是一个软件,同步…