現(xiàn)今的商業(yè)環(huán)境中，數(shù)據(jù)資源是驅(qū)動(dòng)企業(yè)向正確方向發(fā)展的源泉。例如，零售商需要根據(jù)用戶行為數(shù)據(jù)獲取更多銷售訂單，CEO 需要根據(jù)企業(yè)之前的運(yùn)作數(shù)據(jù)做出有效的決策。同樣的，IT 安全專家需要根據(jù)IT 網(wǎng)絡(luò)日志數(shù)據(jù)基礎(chǔ)架構(gòu)收集到的數(shù)據(jù)，讓網(wǎng)絡(luò)安全遠(yuǎn)離威脅、攻擊和破壞。大多數(shù)企業(yè)的IT 基礎(chǔ)架構(gòu)都會(huì)包括網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、防火墻等），系統(tǒng)（Windows、Linux 等）和收集大量日志數(shù)據(jù)的關(guān)鍵業(yè)務(wù)應(yīng)用程序。

日志數(shù)據(jù)如蘊(yùn)含黃金的礦廠，對安全威脅提供強(qiáng)大的洞察力和安全情報(bào)——但這僅僅是在日志數(shù)據(jù)實(shí)時(shí)監(jiān)控和分析時(shí)有效。高效的日志數(shù)據(jù)管理可以幫助IT 安全管理人員減少復(fù)雜的網(wǎng)絡(luò)攻擊，識(shí)別安全事件的原因、監(jiān)控用戶活動(dòng)、防止數(shù)據(jù)泄露，以及滿足常規(guī)安全性要求。但是沒有適當(dāng)?shù)娜罩竟芾聿呗院土鞒蹋琁T 安全管理人員在確保企業(yè)免受攻擊和破壞時(shí)，肯定會(huì)面臨巨大的挑戰(zhàn)。

下面，我們將介紹高效的IT 安全管理人員在管理日志數(shù)據(jù)時(shí)應(yīng)采用的8 種習(xí)慣。這些日志管理習(xí)慣在本質(zhì)上是相通的，它可以幫助IT 安全管理人員利用日志數(shù)據(jù)的力量有效地保護(hù)其網(wǎng)絡(luò)安全。

習(xí)慣之1：使用自動(dòng)化的用戶日志管理工具

分析日志數(shù)據(jù)是IT 安全管理人員面臨的巨大挑戰(zhàn)。手動(dòng)監(jiān)控和分析日志數(shù)據(jù)是不現(xiàn)實(shí)的，因?yàn)槿罩緮?shù)據(jù)值非常巨大，這個(gè)過程很容易發(fā)生人為錯(cuò)誤。因此，IT 安全管理人員需要依靠自動(dòng)化日志管理解決方案，分析由網(wǎng)絡(luò)基礎(chǔ)架構(gòu)產(chǎn)生的巨大數(shù)量的日志數(shù)據(jù)。

使用自動(dòng)化日志管理工具，IT 安全管理人員可以實(shí)時(shí)獲得安全情報(bào)。使用自動(dòng)化日志管理解決方案，當(dāng)應(yīng)用、系統(tǒng)和設(shè)備發(fā)生異常情況，IT 安全管理人員可以實(shí)時(shí)收到通知。僅僅幾秒，自動(dòng)日志管理工具可以對用戶行為、網(wǎng)絡(luò)異常、系統(tǒng)宕機(jī)、違反政策、內(nèi)部威脅等提供強(qiáng)大的參考。

習(xí)慣之2：集中收集日志數(shù)據(jù)

從異構(gòu)數(shù)據(jù)源收集日志數(shù)據(jù)——Windows、Unix、Linux 及其他系統(tǒng)；應(yīng)用程序、數(shù)據(jù)庫、路由器、交換機(jī)、防火墻等。對于IT 安全管理人員來說，對日志管理的安全防護(hù)是一項(xiàng)艱巨的任務(wù)。使用多種日志管理工具收集和分析來自數(shù)量眾多的設(shè)備、系統(tǒng)和應(yīng)用程序不同格式的日志，這可不是一家公司高效管理日志的方法。

IT 安全管理人員需要配置單個(gè)日志管理工具，幫助他們從各種來源解讀各種日志格式。IT 安全管理人員應(yīng)該選擇具有通用日志收集特性的日志管理工具，這個(gè)特性使企業(yè)能夠從各種來源收集和分析各種格式的日志數(shù)據(jù)。集中收集日志數(shù)據(jù)，使IT 安全管理人員能夠查看網(wǎng)絡(luò)上發(fā)生的活動(dòng)，從而及時(shí)地形成有效的安全策略。

習(xí)慣之3：保持審計(jì)狀態(tài)，準(zhǔn)備就緒的安全報(bào)表

每個(gè)企業(yè)都需要遵守他們自己的內(nèi)部安全政策或外部監(jiān)管機(jī)構(gòu)政策，如PCI DSS、SOX、FISMA、ISO27001 和HIPAA。當(dāng)涉及到外部審計(jì)時(shí)，IT 安全管理人員必須集中精力滿足外部機(jī)構(gòu)制定的需求，并確保合規(guī)審計(jì)人員以盡可能小的工作量完成他們的工作。單憑對合規(guī)審計(jì)人員的口頭保證遠(yuǎn)遠(yuǎn)不夠。安全報(bào)表必須準(zhǔn)備充分，并且用適當(dāng)?shù)娜罩緮?shù)據(jù)和使用的日志管理工具來備份報(bào)表。

習(xí)慣之4：執(zhí)行日志取證調(diào)查

網(wǎng)絡(luò)問題在日志數(shù)據(jù)中都可以找到答案。攻擊者往往都會(huì)留下痕跡，而你的日志數(shù)據(jù)可以幫助你識(shí)別漏洞的原因，甚至告訴你是誰發(fā)起了攻擊。此外，日志數(shù)據(jù)取證分析報(bào)表可以用作法庭證據(jù)。手動(dòng)搜索日志來查找網(wǎng)絡(luò)問題的原因，或者在事件中發(fā)現(xiàn)規(guī)律，就像大海撈針一般。

當(dāng)IT 安全管理人員真正找尋問題答案時(shí)，得到答案卻十分困難。但是如果有了正確的日志取證策略和工具，他們就能得到問題的答案。日志取證工具搜索功能可以幫助管理員進(jìn)行調(diào)查，這樣可以幫助他們快速找到和修復(fù)網(wǎng)絡(luò)問題和異常行為。日志搜索功能可以讓IT 安全管理人員在整個(gè)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中進(jìn)行搜索。

習(xí)慣之5：主動(dòng)應(yīng)對安全威脅

為了解除復(fù)雜的網(wǎng)絡(luò)攻擊，IT 安全管理人員必須對網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的日志數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)。日志數(shù)據(jù)關(guān)聯(lián)功能可以讓IT 安全管理人員在多個(gè)日志源同時(shí)處理數(shù)百萬個(gè)事件，以增強(qiáng)網(wǎng)絡(luò)安全性，在攻擊或破壞發(fā)生之前，主動(dòng)檢測網(wǎng)絡(luò)上的異常事件，實(shí)時(shí)事件關(guān)聯(lián)性主動(dòng)應(yīng)對威脅。為了防止安全威脅，IT 安全管理人員依靠日志相關(guān)工具來加速對網(wǎng)絡(luò)事件的監(jiān)控和分析。

有了數(shù)據(jù)相關(guān)性分析工具，IT 安全管理人員不需要花幾個(gè)小時(shí)手動(dòng)跟蹤可疑的網(wǎng)絡(luò)行為。日志數(shù)據(jù)相關(guān)性自動(dòng)檢測并提供關(guān)于漏洞、網(wǎng)絡(luò)用戶活動(dòng)、策略違規(guī)、網(wǎng)絡(luò)異常、系統(tǒng)停機(jī)時(shí)間和網(wǎng)絡(luò)安全威脅的實(shí)時(shí)告警。

習(xí)慣之6：跟蹤用戶活動(dòng)

當(dāng)您信任的員工和用戶有權(quán)限訪問業(yè)務(wù)關(guān)鍵的應(yīng)用程序、設(shè)備、系統(tǒng)和文件時(shí)，會(huì)有意無意地引發(fā)盜取數(shù)據(jù)、中斷或系統(tǒng)崩潰。IT 安全管理人員必須通過監(jiān)視日志數(shù)據(jù)實(shí)時(shí)跟蹤整個(gè)IT 基礎(chǔ)架構(gòu)中的用戶活動(dòng)。日志數(shù)據(jù)包含關(guān)鍵網(wǎng)絡(luò)資源上發(fā)生的活動(dòng)完整的審計(jì)跟蹤。IT 安全管理人員需要利用日志數(shù)據(jù)審計(jì)跟蹤來獲得用戶的實(shí)時(shí)活動(dòng)，找到關(guān)于“誰、什么、哪里和如何”的答案。

習(xí)慣之7：數(shù)據(jù)歸檔和保證日志數(shù)據(jù)安全

日志歸檔是企業(yè)滿足合規(guī)性要求所必須完成的任務(wù)。日志歸檔依賴于企業(yè)所需遵守的政策和合規(guī)性法則。日志歸檔周期根據(jù)合規(guī)性審計(jì)的不同而有所不同。例如，PCI DSS 要求存檔一年，HIPAA要求存檔七年，而FISMA 要求存檔三年。日志歸檔的另一個(gè)原因是日志取證調(diào)查，如習(xí)慣之4 中所述。

歸檔日志數(shù)據(jù)必須保護(hù)不被更改，以保證其真實(shí)性。IT 安全管理人員應(yīng)該對日志數(shù)據(jù)進(jìn)行加密，并通過哈希算法和時(shí)間戳防止日志被篡改，以便將來進(jìn)行取證分析、合規(guī)性或內(nèi)部審計(jì)。

習(xí)慣之8：持續(xù)監(jiān)控和回顧日志數(shù)據(jù)

IT 安全管理人員應(yīng)該將監(jiān)控和回復(fù)日志數(shù)據(jù)作為常規(guī)工作。上述的七個(gè)習(xí)慣都是為了實(shí)現(xiàn)第八個(gè)習(xí)慣。日志管理不是保護(hù)網(wǎng)絡(luò)的一次性工作。為了讓您遠(yuǎn)離網(wǎng)絡(luò)威脅，它應(yīng)該是一個(gè)持續(xù)的過程，在這個(gè)過程中，日志數(shù)據(jù)必須進(jìn)行實(shí)時(shí)收集、監(jiān)控和分析。

結(jié)論

大多數(shù)企業(yè)都由眾多的系統(tǒng)、設(shè)備和應(yīng)用程序組成，每個(gè)系統(tǒng)生成的日志數(shù)據(jù)對于檢測異常行為、威脅、漏洞、安全事件、政策違規(guī)、用戶活動(dòng)等等都是至關(guān)重要的。利用日志數(shù)據(jù)，IT 安全管理人員通過主動(dòng)地網(wǎng)絡(luò)威脅防御措施，可以大大地提升企業(yè)的整體安全態(tài)勢。IT 安全管理人員應(yīng)將8個(gè)日志管理習(xí)慣付諸實(shí)踐，這樣他們就可以從日志數(shù)據(jù)中獲取有意義的、可操作的信息和安全情報(bào)。

Eventlog Analyzer 是用來分析和審計(jì)系統(tǒng)及事件日志的管理軟件，能夠?qū)θW(wǎng)范圍內(nèi)的主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫以及各種應(yīng)用服務(wù)系統(tǒng)等產(chǎn)生的日志，進(jìn)行收集和細(xì)致分析，通過統(tǒng)一的控制臺(tái)進(jìn)行實(shí)時(shí)可視化的呈現(xiàn)。通過定義日志篩選規(guī)則和策略，幫助IT 管理員從海量日志數(shù)據(jù)中精確查找關(guān)鍵有用的事件數(shù)據(jù)，準(zhǔn)確定位網(wǎng)絡(luò)故障并提前識(shí)別安全威脅，從而降低系統(tǒng)宕機(jī)時(shí)間、提升網(wǎng)絡(luò)性能、保障企業(yè)網(wǎng)絡(luò)安全。登錄https://www.manageengine.cn/products/eventlog 可以免費(fèi)試用并申請相關(guān)的技術(shù)支持！

關(guān)注微信

電話：4006608680

網(wǎng)址：www.manageengine.cn