做新房用哪个网站好,肇庆网站推广排名,查询个人营业执照信息,网站 架构设计安全信息和事件管理#xff08;SIEM#xff09;解决方案通过监控来自网络的不同类型的数据来确保组织网络的健康安全状况#xff0c;日志数据记录设备上发生的每个活动以及整个网络中的应用程序#xff0c;若要评估网络的安全状况#xff0c;SIEM 解决方案必须收集和分析不…安全信息和事件管理SIEM解决方案通过监控来自网络的不同类型的数据来确保组织网络的健康安全状况日志数据记录设备上发生的每个活动以及整个网络中的应用程序若要评估网络的安全状况SIEM 解决方案必须收集和分析不同类型的日志数据。
什么是日志分析
日志分析是调查收集的日志以识别模式和异常行为、在从各种源收集的日志之间建立关系并在检测到威胁时生成警报的过程。可以使用不同的技术包括日志关联、取证分析和威胁情报执行日志分析以识别恶意活动。它在深入了解网络活动方面也起着重要作用。
日志分析为什么重要
如果没有适当的分析技术可能很难识别网络中的恶意活动。由于日志包含有关网络中发生的每个活动的信息因此分析这些日志以
防止数据泄露。监控用户活动并检测异常用户行为。保护敏感数据免受攻击。尽早检测网络攻击并缓解它们。防止因泄露而导致数据丢失。遵守 IT 法规。
日志分析是如何进行的
将聚合收集的日志。聚合是从不同系统收集所有不同日志的过程并且文件被收集和存储在一个中心位置。日志被规范化并转换为可读的结构化格式。然后使用预定义的规则分析和关联规范化的日志数据以确定从不同来源收集的日志之间的关系。生成与收集的日志的分析相对应的报告和交互式仪表板。相关性可以指示来自不同源的日志数据是否对应于一个事件。如果事件威胁到网络安全则会发出警报。引发警报的条件是预定义的也可以根据组织的需求进行自定义。还可以通过应用取证分析和威胁情报来加强分析。对日志数据执行取证分析有助于识别网络中的攻击点。它可以指定攻击是如何进行的以及网络的哪个部分被破坏以获得进入;它还检查整个网络中的漏洞。
不同类型日志数据监控及分析
使用 SIEM 解决方案收集和分析的不同类型的日志数据以确保网络安全。
外围设备日志Windows 事件日志端点日志应用程序日志代理日志物联网日志
外围设备日志
外围设备监控和调节进出网络的流量。防火墙、虚拟专用网络 VPN、入侵检测系统 IDS 和入侵防御系统 IPS 是一些外围设备。这些设备生成包含大量数据的日志外围设备日志对于了解网络中发生的安全事件至关重要。syslog 格式的日志数据可帮助 IT 管理员执行安全审核、解决操作问题并更好地了解通过和传出公司网络的流量。
为什么需要监控外围设备的日志数据
检测流向网络的恶意流量这些日志包含有关传入流量、用户浏览的网站的 IP 地址以及失败的登录尝试的详细信息可帮助管理员跟踪异常流量行为。检测安全配置错误安全配置错误是防火墙违规的最重要原因对防火墙配置进行一些更改可能会为恶意网络流量打开大门监控防火墙日志有助于检测未经授权的安全配置更改。检测攻击分析防火墙日志有助于检测网络活动中的模式。例如当服务器在短时间内收到大量 SYN 数据包以将客户端连接到服务器时这可能表示分布式拒绝服务 DDoS 攻击。
剖析典型的外围设备防火墙日志数据 2015-07-06 11:35:26 ALLOW TCP 10.40.4.182 10.40.1.11 63064 135 0 - 0 0 0 - - - SEND 上面的日志条目指定事件的时间戳后跟操作。在这种情况下它指示防火墙允许流量的日期和时间它还包含有关所用协议的信息以及源和目标的 IP 地址和端口号。从此类日志数据中管理员可以检测到连接到不使用的端口的尝试指示流量是恶意的。
Windows 事件日志
Windows 事件日志是 Windows 系统上发生的所有事情的记录。此日志数据进一步分为
Windows 应用程序日志这些是 Windows 操作系统中的应用程序记录的事件。例如此应用程序日志中记录了强制应用程序关闭的错误。安全日志这些是可能影响系统安全的任何事件它包括失败的登录尝试和文件删除实例。系统日志它包含操作系统记录的事件。日志指示进程和驱动程序是否已成功加载。目录服务日志它包含活动目录AD服务记录的事件。它记录 AD 操作例如身份验证和权限修改。这些日志仅适用于域控制器。DNS 服务器日志这些是来自域名系统 DNS 服务器的日志其中包含客户端 IP 地址、查询的域和请求的记录等信息。它仅适用于 DNS 服务器。文件复制服务日志它包含域控制器复制的事件。它仅适用于域控制器。
为什么需要监控 Windows 事件日志
确保服务器安全大多数关键服务器如文件服务器和 AD 域控制器都在 Windows 平台上运行监控此日志数据以了解关键资源发生的情况至关重要。Windows 工作站安全性事件日志提供有关工作站功能的宝贵见解通过监控从设备生成的 Windows 事件日志可以监视用户活动的异常行为这可以帮助检测攻击在早期阶段在发生攻击时日志可以帮助重建用户的活动以进行取证。监控硬件组件对 Windows 事件日志的分析通过指示故障原因来帮助诊断工作站硬件组件出现故障的问题。
剖析典型的 Windows 事件日志 Warning 4/28/2020 12:32:47 PM WLAN-AutoConfig 4003 None Windows 根据每个事件的严重性对每个事件进行分类包括“警告”、“信息”、“严重”和“错误”。在这种情况下安全级别为“警告”。上面的日志条目来自 WLAN 自动配置服务该服务是一个连接管理实用程序使用户能够动态连接到无线局域网 WLAN。下一段指示事件发生的日期和时间。日志指定 WLAN 自动配置检测到有限的网络连接并且正在尝试自动恢复。使用此日志SIEM 解决方案可以在此日志中引用的时间戳检查其他设备上的类似日志以解决网络连接问题。
端点日志
终结点是通过网络连接并跨服务器与其他设备通信的设备。一些示例包括台式机、笔记本电脑、智能手机和打印机。随着组织越来越多地采用远程工作端点创建了可能被恶意行为者利用的网络入口点。
为什么需要监控端点日志
监视可移动磁盘驱动器上的活动可移动磁盘驱动器通常容易受到恶意软件安装和数据泄露尝试的攻击。通过监视终结点日志可以检测到这些尝试。监视用户活动用户必须遵守其组织的内部和外部法规策略这些策略与在其工作站上安装和使用软件有关。终结点日志可用于监视这些策略并在发生违规时提供通知。
剖析典型的终结点设备日志 Error 6/20/2019 5:00:45 PM Terminal Services- Printers 1111 None 上面的日志指定终端服务轻松打印驱动程序发生错误。这由错误源和事件 ID 1111 指示。如果用户在打印文件时遇到问题可以检查日志以了解问题的确切原因并解决问题。 应用程序日志
企业在各种应用程序如数据库、Web 服务器应用程序和其他内部应用程序上运行以执行特定功能。这些应用程序通常对于业务的有效运作至关重要。所有这些应用程序都会生成日志数据以提供有关应用程序中发生的情况的见解。
为什么需要监视应用程序日志
排查问题这些日志有助于识别和更正与应用程序的性能和安全性相关的问题。监视活动从数据库生成的日志指示来自用户的请求和查询。这可用于检测未经授权的文件访问或用户的数据操作尝试。日志还有助于解决数据库中的问题。
剖析典型应用程序日志 02-AUG-2013 17:38:48 * (CONNECT_DATA(SERVICE_NAMEdev12c) (CID(PROGRAMsqlplus)(HOSToralinux1)(USERoracle))) * (ADDRESS(PROTOCOLtcp)(HOST192.168.2.121)(PORT21165)) establish * dev12c * 0 上述日志条目来自 Oracle 数据库系统该日志用于从主机进行连接尝试日志引用数据库服务器收到请求的时间和日期它还指示发出请求的用户和主机以及其 IP 地址和端口号。
代理日志
代理服务器通过提供隐私、调节访问和节省带宽在组织的网络中发挥着重要作用。由于所有 Web 请求和响应都通过代理服务器因此代理日志可以揭示有关使用情况统计信息和终结点用户的浏览行为的宝贵信息。
为什么需要监视代理日志
基线用户行为从收集的代理日志中分析用户的浏览活动有助于形成其行为的基线。与基线的任何偏差都可能揭示数据泄露并表明需要进一步检查。要监控数据包的长度代理日志可以帮助监视通过代理服务器交换的数据包的长度。例如用户在给定的时间间隔内重复发送或接收相同长度的数据包可能指示软件更新或发现与控制服务器交换信号的恶意软件。
剖析典型的代理日志 4/8/2020 2:20:55 PM User-001 192.168.10.10 GET https://wikipedia.com/ 上面的日志指定 User-001 在日志中指示的日期和时间从 Wikipedia.com 请求页面分析日志中的请求、URL 和时间戳有助于检测模式并有助于在发生事件时恢复证据。
物联网日志
物联网 IoT 是指与互联网上的其他设备交换数据的物理设备网络这些设备嵌入了传感器、处理器和软件以实现数据收集、处理和传输与端点一样构成 IoT 系统的设备也会生成日志。
来自 IoT 设备的日志数据可深入了解硬件组件如微控制器的功能、设备的固件更新要求以及进出设备的数据流。从物联网系统记录数据的一个关键部分是日志数据的存储位置。这些设备没有足够的内存来存储日志。因此必须将日志转发到集中式日志管理解决方案在该解决方案中可以长时间存储日志。然后SIEM 解决方案分析日志以排查错误和检测安全威胁。
不同的日志格式
上述所有来源的日志通常会转发到集中式日志记录解决方案关联和分析数据以提供网络的安全概述。日志以不同的格式存储和传输例如 CSV、JSON、键值对和通用事件格式。
.CSVJavaScript Object NotationJSON键-值对(key- value pair)通用事件格式
.CSV
CSV 是一种以逗号分隔格式存储值的文件格式。它是一种纯文本文件格式无论使用何种软件都可以轻松将CSV文件导入存储数据库。由于 CSV 文件不是分层的或面向对象的因此它们也更容易转换为其他文件类型。
JSONJavaScript Object Notation
JavaScript Object NotationJSON是一种基于文本的数据存储格式。它是一种结构化格式可以更轻松地分析存储的日志。还可以查询特定字段。这些附加功能使 JSON 成为非常可靠的日志管理格式。
键-值对(key- value pair)
键-值对由两个元素组成键和映射到它的值。键是一个常量该值在不同的条目中是可变的格式设置涉及将相似的数据集分组到一个公共键下通过运行特定键的查询可以提取该键下的所有数据。
通用事件格式
通用事件格式通常称为 CEF是一种日志管理格式它通过更轻松地收集和存储来自不同设备和应用程序的日志数据来促进互操作性。它使用系统日志消息格式。它是使用最广泛的日志记录格式受到各种供应商和软件平台的支持由 CEF 标头和包含键值对中的日志数据的 CEF 扩展组成。
SIEM 解决方案Log360分析从不同来源收集的日志关联日志数据并提供见解以帮助组织检测网络攻击并从中恢复。
