IT环境中的每个设备,操作系统和应用程序都以日志文件的形式生成记录。这些审计行为在调查安全漏洞时提供有价值的信息,并在提交规范合规报告时提供有价值的信息。

这  网络风险管理项目 最近预测,来自受害者赎金需求的主要网络攻击可能会花费1930亿美元,并影响全球60多名企业。该组织研究了通过感染的电子邮件发布的假设攻击,该邮件被转发给一个人的赎金瓶病毒’S触点。在24小时内,该病毒在全球3000万台设备上加密数据。各种规模的公司将被迫支付赎金来解密他们的数据或取代受感染的设备。

随着本报告的说明,每个人都是网络犯罪分子的目标,在今天的不断发展的威胁景观 - 没有业务太大或太小。对防火墙和IDS设备的分析可能会显示出巨大的持续尝试,以渗透到周边防御。更重要的是,鉴于网络犯罪攻击的复杂性,检测违规变得更加困难。

情况呼吁设计精心设计的日志管理解决方案。但同样重要的是,解决方案必须通过最佳实践来支持,帮助您的IT团队更有效地在杂草中更有效地工作,这些数据在我们不需要看到的数据中 - 并使它们能够将更多时间放在代表潜在的日志事件中威胁。

有价值的数据,但手动处理太多

IT环境中的每个设备,操作系统和应用程序都以日志文件的形式生成记录。这些审计行为在调查安全漏洞时提供有价值的信息,并在提交规范合规报告时提供有价值的信息。

关键是实现日志管理工具,并应用程序,使您能够分析典型IT基础架构产生的日志文件的压倒性卷。这是太多的方式来手动排序。

如果没有有效的收集,格式化和监控日志的集中方法,您的IT团队可能会浪费时间追逐误报,并花费太长,以减轻妨碍业务效率的安全事件。但是,当实时有效分析时,日志提供了新兴的性能和可用性问题以及可能的安全威胁的警告。在历史审查时,日志对于故障排除,法医调查是必不可少的,以及帮助证明遵守法规。

记录管理最佳实践,以提高安全性和保证合规性

当您实现新的日志管理解决方案 - 或寻求增强现有解决方案的方法 - 以下是实现的高级最佳实践:

#1定义您的目标 - 您要检测到什么安全事件?需要什么监管合规性?可以定期审查哪些日志,并且哪些日志需要实时监控?将生成,存储和分析会生成哪些日志?这些问题的答案将在您推出新的日志管理计划时提供高级指导。

#2识别要收集的日志请务必从关键安全性和数据处理资源(如业务应用程序和涉及敏感数据的进程)中收集日志。收集的其他日志包括提供对业务应用程序的访问的系统和网络设备,先前已损害,Internet连接和具有外部连接的系统的资源 - 例如网关,防火墙,ID,文件传输和协作解决方案。

#3用于可读性的格式 - 确保日志在像JSON或KVP这样的机器和人类可读格式中构建。如果他们无法理解,您的日志将很有帮助。预先关注此详细信息,可确保您使用的任何日志监控或分析解决方案都能提取您的TEA CUST功能的数据。

#4集中管理 - 从两个角度来看你的日志收集,管理,监控和分析是一个好主意。首先,IT团队更容易分析日志并搜索帮助他们检测,预防和缓解安全威胁的线索。其次,监管审计师可能需要集中化方法来证明您正在满足其合理和适当措施的要求,以确保数据安全。

#5实施自动化监控-some组织仅收集日志文件,以便在通知潜在违规的情况下可以审核它们。其他人试图在定期依据手动审查日志。根本不审查日志浪费有关IT基础架构的性能和安全姿势的有价值的信息。另一方面,手动评论消耗过多的时间,并充满了错过可能影响安全性和合规性的大量日志事件的可能性。设置自动监控,以便您始终关注日志,并创建警报以通知您的IT团队需要立即关注的事件。

有关应用日志管理最佳实践的更详细信息,请查看我们的白皮书, 日志监控安全性和合规性的最佳实践.

在日志管理解决方案中寻找什么

如果你需要一个 日志管理解决方案 这提供了实时事件监视和警报以补充这些最佳实践,查找提供可扩展和连续日志收集,快速搜索和基于规则的警报以及分析和报告。领先的解决方案将支持数千个网络设备类型和日志定义,用于操作系统,防火墙和应用程序。

它们还集中了日志数据集,从而简化了日志法医分析,并为您提供了在整个IT团队中注释和分享事件响应选项的能力。寻找的其他关键功能包括预先配置的操作和安全警报以及能够定义自己的警报并设置实时通知。

为帮助您的业务遵守与日志有关的法规,您需要一个解决方案,提供连续合规监控,实时威胁检测,以及使用常用搜索查询进行快速搜索的能力。领先的日志管理解决方案还将为您提供可以针对特定监管要求量身定制的预定义合规性报告。

在损坏完成之前采取行动

无论您选择的解决方案以及应用的实践,日志管理都应该是安全计划的重要组成部分。至少有信任的人应定期审查安全事件的迹象的日志。

但是,当数据安全性是关键问题 - 就像关于任何关于来自关键安全性的每个业务日志的情况一样,应不断监测和分析数据处理资源。对于处理敏感数据的业务应用程序尤其如此。

理想情况下,您应该使用集中式日志管理工具。只有实时监测和分析只能提供您需要采取行动的周边和核心系统防御中违规的预警,以便在严重损坏到您的数字资产之前。

Source://blog.ipswitch.com/topic/monitoring