给日志源分出主次大有利于开展有效事件响应。

就像分诊护士一样，安全人员也必须给数据分出个优先主次，以帮助他们更好地识别问题，使公司企业及其数据和设备能够避免入侵者和网络攻击的伤害。

但是，记录和监视IT环境中的所有相关事件并不简单。举个例子，一些常见日志源，比如服务器、防火墙、活动目录(AD)、入侵检测系统(IDS)和终端工具，就很容易接入和解析。但对事件响应(IR)尤其有价值的其他源，就因所需工作量太大而难以大规模管理，也极少接入。

事实上，451Research对150家大型企业的调查研究发现，企业日志产出系统生成的日志中，只有不到一半(45%)被其安全信息与事件管理(SIEM)平台接入。这意味着企业安全团队面临缺失关键信息的风险，一些指征入侵的指标可能会被错过，企业整体安全态势受到影响。

为最大化日志效益，公司企业必须评估和调适现有过程，以符合当前需求和威胁状况，并考虑记录往往被忽略掉的对IR和威胁追捕价值无限的事件源。下面5个日志源值得安全团队加以重视。

1. 数据库日志

数据库日志难是有原因的。管理员通常选择不开启审计之类功能，因为此类功能可能会影响到服务器的性能。企业环境中数据库服务器的数量通常很庞大，审计数据库和表非常困难。而且，如果第三方创建的数据库对数据和表结构查阅做了限制，企业安全团队也难以访问和查看数据库中发生的操作。

想在不开启审计功能的情况下获得足够的数据库可见性，如果数据库活动监视可用的话，可以考虑关联内置规则和警报到公司SIEM平台。还可以创建监测特定行为的预置过程，写下带有违规记录的ID、日期和时间的事件日志以触发警报。

2. Web服务器日志

《2018威瑞森数据泄露调查报告》指出，数据泄露的几大主要原因中，Web应用中的漏洞占据了最大比例——Web应用通常可以访问高度敏感的客户账户信息。不幸的是，安全团队却最为缺乏Web服务器日志。

另外，与微软IIS或Apache之类原生Web服务器日志不同，Web服务器日志往往以多行或定制格式很不标准地记录到文本文件或数据库中，这就让Web服务器日志的解析变得异常困难。如果你使用标准Web服务器日志，要确保启用了所有相关域，因为IIS的默认W3C设置不捕获一些重要元素，比如页面大小和cookie值。Web应用防火墙(WAF)事件日志已经关注了潜在恶意行为。

3. DNS日志

DNS提供用户访问网站的丰富信息，显示有无恶意应用在访问命令与控制(CnC)站点。但因为防火墙往往允许DNS数据出站，DNS也是用于渗漏数据的常见隧道协议。因数据量巨大，不标准的多行格式，以及导出难度，DNS日志记录与解析工作颇为棘手。

可以考虑采用BIND、Infoblox，甚至微软的新 Analytical Event Logging方法——使用更标准的日志格式而不是传统的调试和平面文件导入。新的Analytical日志方法比调试方法性能高得多，且日志以常见的 Windows Event Log 格式存储。

4. 云平台日志

AWS、谷歌云平台、微软Azure、Salesforce和Dropbox等云服务越来越多地被公司企业用于存储数据和应用。但是此类服务大多不具备统一的日志格式，需要不同的解析器，记录平台上托管的各个应用产生的事件也需不同记录方法。对大多数团队而言，为如此之多的事件构造解析器就十分困难了，但若在接入之前有效预过滤数据，就能通过只处理可执行事件而防止SIEM或日志工具过载。

云应用安全代理(CASB)解决方案或许不是无所不包的企业平台，但能提供应用或服务级的细粒度审计功能，需作为完整的云平台加以日志和监视上的考虑。CASB是事件响应和取证调查的必备工具，因为报警云服务未授权访问可以预示潜在的内部人威胁。

5. 物理安全日志

监视摄像系统、生物特征/卡门禁读取器和警报系统的内部人威胁日志也非常有价值。这些日志源的信息与来自服务器、工作站、防火墙、VPN和远程访问设备的证据相关联，就可以揭示登录凭证是否被盗，及时确认内部威胁的具体位置。不过，物理安全团队和IT安全团队之间通常都没有合作，使得不同日志源的信息难以收集和关联起来。除此之外，迥然不同的系统之间也无法实现日志摄入。安全团队的关注重点应该放在远程设施的未授权物理访问，访客和承包商对未授权区域的访问，以及下班时间警报触发等事情上。

保持警惕

上述5个日志源有助于提升对整个企业安全环境的可见性，但公司企业需灵活处理其安全产品产生的新警报。451Research报告发现，43%的公司企业无法应对至少1/4的警报，近半数公司企业称其SIEM、终端检测与响应和其他数据捕获系统让他们的安全运营团队疲于应付。

最好是能够为所有可能的日志源创建路线图，令IT安全团队与受影响的业务部门合作以设立日志优先级，将日志摄入所需工作量及其能够缓解的潜在风险纳入考虑。事先搞好安全团队与数据或应用拥有者之间的协作，可以确保双方能够一起审查可执行事件类型，并发现日志源拥有者可能需要更多可见性的地方。

451 Research 的调查：

https://protect-eu.mimecast.com/s/kuoWCJy99clWo3lhG5fxp

《2018威瑞森数据泄露调查报告》：

https://protect-eu.mimecast.com/s/rLytCK1VVsPykzPU3G1oJ?domain=enterprise.verizon.com

相关阅读

消痕匿迹的黑客：论日志与流量模式备份的重要性