随着信息威胁的量与各类的增加,组织必须通过大量的数据筛选和异常检测,识别真正的威胁。
传统的处理不断增长的日志和事件数据的方法依赖基础的日志收集工具或者昂贵的大规模地部署SIEM系统
日志收集准则:
A、日志管理是终端检测和响应的核心内容:他提供了方便的通道针对兴趣事件进行信息诊断,基于事件数据,历史服务目录相关的日志信息和事件,并且可以满足管理策略与工业标准。
B:安全贸易的JACK:为了提供这些福利,中心日志管理系统需要通过操作系统,应用,数据据,IDS/IPS和网络设备例如防火墙,交换机来收集日志。
C、请回答这个问题,发生了什么?这将帮助你更好地理解你的环境,检测和防御***,同样,恶意***者更喜欢掩饰他们的***路径通过日志删除或者重置来隐藏他们的活动,因此检测到他们找到***是非常重要的。
1、优先第一件事:打开你的日志,每个重要的系统都有一个日志你可以启用,在大量的事件当中,重要的日志不能启用,因此重要的数失当检测和响应新型信息威胁时。
2、建立你的日志收集:知道哪些数据需要被收集,在大量的组织中,日志数据将会被收集通过世界性的网络连接分布在各个地理位置的设备。
创建一个地图和架构针对你的日志收集,包含日志的位置,类型,除开每天增加的日志,日志保留的时间长度作为活动的和存档,以及谁访问了他。
3、使用备份的日志管理呗,通过增加一个或多个备份的日志管理员到你的公司,你可以分配日常管理运行工作来满足你组织的增长需要,日志副手管理员的作用可以提高表现在给予你基于地理,业务单元或者业务应用划分日志。
4、准确地收集日志:每一份日志都包含独一无二的数据,当结合在一起时,累积起来的数据将会提供对新型网络威胁的洞察能力,在一个分支事件当中,你将需要所有的终端数据:网络设备日志,操作系统日志,数据库,应用,服务器以至更多的日志,这些收集过程需确保当系统,设备,或者其他资产坏损时,你可以100%地确保你的日志数据是安全的。
5、集中存储:因为数据很容易被访问到,各路收集日志和事件是非常重要发,针对快速调查,取证和检测、响应终端威胁,好的日志管理产品像tripwire log center可以收集深度的,详细的日志数据同样地,终端事件和网络活动信息,并存储这些信息在一个大模型数据报告与分析的库当中。
法院调查一个事件发生的原因与方式可以利益于一套日志与事件管理档案。当一个调查在路上,他将有助于日志管理工具可以判断档案的日间长度,并给予解封日志数据来给予调查和审计,针对雇佣一个高水平的压缩以减少存储空间来讲也是十分有用的,与此同时保护日志免遭篡改。
6、关联规则:识别新型信息威胁通过识别可疑的事件基于系统改变,弱配置以及脆弱性的综合考虑,大量的产品通过拖放的方式来快速定义和定制事件的相关性规则以及过滤和检测异常现象,可疑行为,改变以及已知的威胁模式与IoC,除此之外,你可以预定义恶意行为与遗漏模型。
7、告警:当你的日志匹配相关连的规则,高级日志管理产品可以识别可能事件并快速地回顾通过使用告警与响应开关,这将减少特殊需要特殊专业知识与资源来创建关联性规则在众多的复杂格式当中的必要。
8、一体化:一体化你的日志管理解决方案通过安全配置管理产品比如tripwire enterprise,以及漏洞管理产品比如tripwire ip360来为你的组织提供例外的安全与业务内容,这有助于优先考虑最重要的威胁。
一体化的日志管理系统可以使用关联规则来检测和告警影响系统安全状态的可疑事件。
9、综合业务,安全,风险,用户内容:综合业务和用户内容可以让你轻松地监控资产和用户,什么时候综合,可可根据近距离的观察,例如,你可能想要仔细地监控最高价值的资产来记录哪个承包商进入过,你可以进一步优化风险通过关联可疑事件。这些事件可以通过 tripwire log center,通过tripwire ip360进行脆弱性识别,通过tripwire enterprise检测可疑的变更。例如,当使用一个脆弱性管理方案像tripwire ip 360,这个日志管理解决方案可以提供增长网络和威胁意识在你有环境当中,结合脆弱性信息可提供洞察力,这可以让你识别风险和优先考虑你的安全精力。
10、收集和转发:为转发相关和可按数据到你的SOC和第三方工具例如SIEM,威胁智能解决方案,预过滤日常数据来识别不正常和IOC模型。高级日志管理解决方案可以过滤和检测不正常,可疑的行为和变更以及基于威胁和IoC数据的模型。
11、自动化:扩展相关规则来提供告警和补救,识别人事以及资源需要被通知,当特殊的情况被识别到,然后延伸相关性来联系人事责任调查和修补告警,同样考虑脚本响应针对关联规则可以自动在移除,减轻或者加固你的终端。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
