【赛迪网讯】日志数据可以是有价值的信息宝库,也可以是毫无价值的数据泥潭。要保护和提高你的网络安全,由各种操作系统、应用程序、装备和安全产品的日志数据能够帮助你提前发现和避开灾害,并且找到安全事件的根本原因。
当然,日志数据对于完成网络安全的价值有多大取决于两个因素:第一,你的系统和装备必须进行合适的设置以便记录你需要的数据。第二,你必须有合适的工具、培训和可用的资源来分析搜集到的数据。
你不能分析你没有的东西
在你能够分析日志数据之前,你显然要搜集数据。更重要的是,记录数据的程序或者装备要设置为搜集你需要的数据。例如,微软的 Windows操作系统在“Event Viewer Security”(安全事件观察器)中能够检查到各种活动和日志信息。然而,在Windows 2000和XP中,安全检查功能并不是缺省启用的,Windows Server 2003缺省的安全检查设置也许不能满意你的需求。
对于Windows中的安全检查事件,你可以选择记录成功的尝试,或者记录失利的尝试。如果你仅选择记录失利的访问文件和文件夹的数据,记录的数据就不会显示这个文件是什么时分被成功破解的。如果你仅记录成功地访问一个用户账号的尝试,记录的数据就不会向你显示一个黑客50次没有猜对那个账号的用户名和密码。
无论你是在运用Windows操作系统还是任何其它的装备和程序,你必须花费一些工夫和努力事先了解你拥有的安全日志功能,并且为你的需要恰当地设置好日志选项。虽然简朴地把一切都记录下来仿佛是合乎逻辑的,但是,监测和记录安全事件会给处理器增加工作负担并且要运用内存和硬盘的空间。你需要了解可用的日志选项,在记录一切和全不记录之间选择最佳的平衡点,以便记录对你有价值的数据。
信息过载
一旦你搜集完日志数据,这个挑战就是如何有效地利用这些数据。位于新泽西州Edison的netForensics公司安全战略家Anton Chuvakin指出:“一旦技术合适和搜集完日志,就需要施行一个监测程序并且评估行动中的陷阱和可能的晋级。
网络和安全管理员经常花费工夫建立日志数据搜集,但是,他们没有处理这些数据或者没有现成的资源来监测和分析那些数据。因为没有人监测这些日志数据,有关网络侦察或者潜在的攻击的信息也许会被忽略而失去时效。
当安全事件发生时,查看日志数据也许可以确定事件发生的工夫。但是,在很多情况下,需要查看的数据量太大,人们没有经过技术培训或者不会查看这些数据,有日志数据也没有意义了。
现在,有安全事件管理(SEM)应用软件等一些工具专门用于监测安全事件并且运用某些逻辑或者过滤器帮助管理员获取有意义的数据。然而,这些工具仍需要设置和恰当地运用才能有效率。人们要对过滤的数据有所了解并且采取措施。
搜集堆积如山的事件日志数据,如果没有经过培训的人员和资源对这些日志数据进行监测和分析,就如同没有搜集任何数据一样毫无用处。在本系列讲座的下一讲,我将提供一些技巧,帮助你了解这些日志数据的意义,并且运用这些数据保护你的网络和增强网络的安全。
日志数据在管理计算机或者网络方面是一种有价值的和适用的工具。事先监测日志数据以寻找可疑的活动迹象的能力或者在发生安全事件时分析日志数据是特别有价值的。
第一步是确保你的系统和装备进行了准确的配置,以便检查和记录事件。假设日志数据已经被捕获和存储,你需要一个有效的工作流程来检查和分析这些数据。下面的一些建议可以向你提供一些指南并且确保你最有效和最充分地运用你的日志数据。
1.有规律地检查日志数据
虽然日志数据在安全事件发生时用作法院的证据是特别有效的,但是,如果有规律地分析这些日志数据,这种安全事件也许根本就不会发生。
应当建立一个工作流程,确定多长工夫检查和分析一次搜集到的日志数据。定期分析由整个网络中的各种应用程序和装备搜集到的海量日志数据有助于找出和诊断故障,还可能发现正在进行中的攻击。
2.以开放的眼光查看日志信息
在分析日志数据经常见的错误是要详细找出已知的事件或者日志项。然而,日志数据中多数有价值的内容仿佛存在于表面上很好或者正常的日志项目中。通过以开放的眼光检查这些日志项目,你也许会找到可疑的活动迹象。如果你仅仅查看错误信息,这种迹象很可能会漏掉。
如果把日志检查的重点放在查找已知的恶意活动方面,任何新出现的威胁或者对客户的攻击都会由于失察而漏掉。
3.通过一个透镜查看数据
整个网络中的装备和应用程序将搜集日志数据。遗憾的是没有一种通用的格式或者方法来记录和显示事件的信息。
为了进行准确的比对,某种形式的转化便产生了,也就是对日志数据施行“正常化”。一旦数据压缩为通用的组件,就很轻易把这个网络作为一个整体进行分析,而不是作为一个单独的日志项目进行分析。这样就可以更好地根据轻重缓急对发现的问题进行处理或者做出反应。
日志数据的处理是很困难的。日志信息中包含贵重的钻石信息。但是,你需要挖掘很多泥土才能找到这些钻石。海量的日志数据使有效地利用这些数据成为表明上不可克服的挑战。然而,有SEM(安全事件管理器)等工具软件能够帮助你查找数据。但是,没有确定如何运用日志数据的流程,没有能够有效地分析日志数据并且对日志数据中发现的信息做出反应的经过培训的人员,这种工具将毫无用处。
相关知识
日志数据能够提前发现和避开网络安全的灾难
德国高仪集团遵循环境管理和健康与安全的严格标准
网上零售走红 橱柜行业网络营销的路还很长
家具行业网络营销的发展轨迹 现状与未来展望
北京联通全面提高用户上网速率
智能家居的命门:家庭网络安全
维护网络安全需要你我他
美协主席刘大为亲笔为《艺术资本》媒体题字
第二届国家网络安全宣传周“看得见的声音”
城外诚主题沙龙二:精准营销和团购模式的探索与实践