終端安全求生指南（五）-——日志管理

日志管理

隨著信息威脅的量與各類的增加，組織必須通過大量的數(shù)據(jù)篩選和異常檢測，識別真正的威脅。

傳統(tǒng)的處理不斷增長的日志和事件數(shù)據(jù)的方法依賴基礎(chǔ)的日志收集工具或者昂貴的大規(guī)模地部署SIEM系統(tǒng)

日志收集準(zhǔn)則：

A、日志管理是終端檢測和響應(yīng)的核心內(nèi)容：他提供了方便的通道針對興趣事件進(jìn)行信息診斷，基于事件數(shù)據(jù)，歷史服務(wù)目錄相關(guān)的日志信息和事件，并且可以滿足管理策略與工業(yè)標(biāo)準(zhǔn)。

B：安全貿(mào)易的JACK：為了提供這些福利，中心日志管理系統(tǒng)需要通過操作系統(tǒng)，應(yīng)用，數(shù)據(jù)據(jù)，IDS/IPS和網(wǎng)絡(luò)設(shè)備例如防火墻，交換機(jī)來收集日志。

C、請回答這個(gè)問題，發(fā)生了什么？這將幫助你更好地理解你的環(huán)境，檢測和防御***，同樣，惡意***者更喜歡掩飾他們的***路徑通過日志刪除或者重置來隱藏他們的活動，因此檢測到他們找到***是非常重要的。

BOOT CAMP：你自己知道

1、優(yōu)先第一件事：打開你的日志，每個(gè)重要的系統(tǒng)都有一個(gè)日志你可以啟用，在大量的事件當(dāng)中，重要的日志不能啟用，因此重要的數(shù)失當(dāng)檢測和響應(yīng)新型信息威脅時(shí)。

2、建立你的日志收集：知道哪些數(shù)據(jù)需要被收集，在大量的組織中，日志數(shù)據(jù)將會被收集通過世界性的網(wǎng)絡(luò)連接分布在各個(gè)地理位置的設(shè)備。

創(chuàng)建一個(gè)地圖和架構(gòu)針對你的日志收集，包含日志的位置，類型，除開每天增加的日志，日志保留的時(shí)間長度作為活動的和存檔，以及誰訪問了他。

3、使用備份的日志管理唄，通過增加一個(gè)或多個(gè)備份的日志管理員到你的公司，你可以分配日常管理運(yùn)行工作來滿足你組織的增長需要，日志副手管理員的作用可以提高表現(xiàn)在給予你基于地理，業(yè)務(wù)單元或者業(yè)務(wù)應(yīng)用劃分日志。

4、準(zhǔn)確地收集日志：每一份日志都包含獨(dú)一無二的數(shù)據(jù)，當(dāng)結(jié)合在一起時(shí)，累積起來的數(shù)據(jù)將會提供對新型網(wǎng)絡(luò)威脅的洞察能力，在一個(gè)分支事件當(dāng)中，你將需要所有的終端數(shù)據(jù)：網(wǎng)絡(luò)設(shè)備日志，操作系統(tǒng)日志，數(shù)據(jù)庫，應(yīng)用，服務(wù)器以至更多的日志，這些收集過程需確保當(dāng)系統(tǒng)，設(shè)備，或者其他資產(chǎn)壞損時(shí)，你可以100%地確保你的日志數(shù)據(jù)是安全的。

5、集中存儲：因?yàn)閿?shù)據(jù)很容易被訪問到，各路收集日志和事件是非常重要發(fā)，針對快速調(diào)查，取證和檢測、響應(yīng)終端威脅，好的日志管理產(chǎn)品像tripwire log center可以收集深度的，詳細(xì)的日志數(shù)據(jù)同樣地，終端事件和網(wǎng)絡(luò)活動信息，并存儲這些信息在一個(gè)大模型數(shù)據(jù)報(bào)告與分析的庫當(dāng)中。

法院調(diào)查一個(gè)事件發(fā)生的原因與方式可以利益于一套日志與事件管理檔案。當(dāng)一個(gè)調(diào)查在路上，他將有助于日志管理工具可以判斷檔案的日間長度，并給予解封日志數(shù)據(jù)來給予調(diào)查和審計(jì)，針對雇傭一個(gè)高水平的壓縮以減少存儲空間來講也是十分有用的，與此同時(shí)保護(hù)日志免遭篡改。

ADVANCED TRAINING

6、關(guān)聯(lián)規(guī)則：識別新型信息威脅通過識別可疑的事件基于系統(tǒng)改變，弱配置以及脆弱性的綜合考慮，大量的產(chǎn)品通過拖放的方式來快速定義和定制事件的相關(guān)性規(guī)則以及過濾和檢測異常現(xiàn)象，可疑行為，改變以及已知的威脅模式與IoC,除此之外，你可以預(yù)定義惡意行為與遺漏模型。

7、告警：當(dāng)你的日志匹配相關(guān)連的規(guī)則，高級日志管理產(chǎn)品可以識別可能事件并快速地回顧通過使用告警與響應(yīng)開關(guān)，這將減少特殊需要特殊專業(yè)知識與資源來創(chuàng)建關(guān)聯(lián)性規(guī)則在眾多的復(fù)雜格式當(dāng)中的必要。

COMBAT READY

8、一體化：一體化你的日志管理解決方案通過安全配置管理產(chǎn)品比如tripwire enterprise,以及漏洞管理產(chǎn)品比如tripwire ip360來為你的組織提供例外的安全與業(yè)務(wù)內(nèi)容，這有助于優(yōu)先考慮最重要的威脅。

一體化的日志管理系統(tǒng)可以使用關(guān)聯(lián)規(guī)則來檢測和告警影響系統(tǒng)安全狀態(tài)的可疑事件。

9、綜合業(yè)務(wù)，安全，風(fēng)險(xiǎn)，用戶內(nèi)容：綜合業(yè)務(wù)和用戶內(nèi)容可以讓你輕松地監(jiān)控資產(chǎn)和用戶，什么時(shí)候綜合，可可根據(jù)近距離的觀察，例如，你可能想要仔細(xì)地監(jiān)控最高價(jià)值的資產(chǎn)來記錄哪個(gè)承包商進(jìn)入過，你可以進(jìn)一步優(yōu)化風(fēng)險(xiǎn)通過關(guān)聯(lián)可疑事件。這些事件可以通過 tripwire log center，通過tripwire ip360進(jìn)行脆弱性識別，通過tripwire enterprise檢測可疑的變更。例如，當(dāng)使用一個(gè)脆弱性管理方案像tripwire ip 360，這個(gè)日志管理解決方案可以提供增長網(wǎng)絡(luò)和威脅意識在你有環(huán)境當(dāng)中，結(jié)合脆弱性信息可提供洞察力，這可以讓你識別風(fēng)險(xiǎn)和優(yōu)先考慮你的安全精力。

10、收集和轉(zhuǎn)發(fā)：為轉(zhuǎn)發(fā)相關(guān)和可按數(shù)據(jù)到你的SOC和第三方工具例如SIEM，威脅智能解決方案，預(yù)過濾日常數(shù)據(jù)來識別不正常和IOC模型。高級日志管理解決方案可以過濾和檢測不正常，可疑的行為和變更以及基于威脅和IoC數(shù)據(jù)的模型。

11、自動化：擴(kuò)展相關(guān)規(guī)則來提供告警和補(bǔ)救，識別人事以及資源需要被通知，當(dāng)特殊的情況被識別到，然后延伸相關(guān)性來聯(lián)系人事責(zé)任調(diào)查和修補(bǔ)告警，同樣考慮腳本響應(yīng)針對關(guān)聯(lián)規(guī)則可以自動在移除，減輕或者加固你的終端。