對數(shù)據(jù)安全的關注以及對云計算、數(shù)據(jù)分析和人工智能 (AI) 的持續(xù)推動凸顯了數(shù)據(jù)聚合和分析為企業(yè)帶來的優(yōu)勢。受益于這些新工具的一個利基領域是實時處理大量安全日志，以幫助檢測和跟蹤安全問題。提供這些功能的商業(yè)智能工具的數(shù)量現(xiàn)在比以往任何時候都更容易獲得。越來越多的組織正在將這些新工具作為其數(shù)據(jù)安全工具包的常規(guī)部分，以幫助過濾、解析和可視化數(shù)據(jù)，從而幫助發(fā)現(xiàn)趨勢或突出異常。物聯(lián)網(wǎng) (IoT) 的普及意味著需要跟蹤和管理的設備比以往任何時候都多。因此，密切關注每個物聯(lián)網(wǎng)設備并了解它們何時正常運行或安全受到威脅變得越來越具有挑戰(zhàn)性。如果您還沒有這樣做，請考慮使用其中一些工具和技術，并將安全事件的集中記錄作為您組織的整體安全控制程序的一部分，以幫助確保潛在的惡意攻擊者不會被忽視。

事件記錄是任何設備或應用程序的重要功能。設備記錄事件以記錄特定活動，例如：

當設備啟動或關閉時

當用戶登錄時

如果發(fā)生配置更改。

通常您可以自定義設備將記錄哪些事件。在選擇要記錄的數(shù)據(jù)量時必須了解權衡，以避免使您的網(wǎng)絡或系統(tǒng)不堪重負，同時確保您收集正確的數(shù)據(jù)以做出決策。

尋找更大拼圖的碎片

事件記錄是一項關鍵的安全控制。一次攻擊可能會在不同設備上觸發(fā)多個事件。安全事件響應者必須經常查詢來自多個設備的事件以拼湊出攻擊者的路徑。例如，通過探測網(wǎng)絡端口進行的攻擊偵察可能會觸發(fā)防火墻上的“端口掃描”事件。一些攻擊者會嘗試提升他們在系統(tǒng)上的權限，由此產生的超級用戶活動也可能會被記錄下來。攻擊者使用竊取的憑據(jù)登錄系統(tǒng)的時間和來源可以作為身份驗證服務日志中的登錄事件找到。防火墻、入侵檢測系統(tǒng)、應用程序服務器和其他網(wǎng)關設備也可能包含有助于防御者的關鍵信息?？梢哉f，

這些事件無疑是安全調查的重要線索，精明的攻擊者都知道這一點。他們可能會調整自己的活動以嘗試“低調行事”并避免觸發(fā)不必要的事件。在某些情況下，攻擊者會嘗試清除受感染設備上的日志以掩蓋他們的蹤跡。此操作有時會創(chuàng)建自己的事件——“事件日志已被清除”——您可以查找并發(fā)出警報。當然，清除設備上的事件并不會刪除已經轉發(fā)到集中式日志服務器的事件——這是集中日志對事件響應和調查如此重要的最重要原因之一。

設置日志服務器

設置集中式日志并不需要很復雜。根據(jù)注冊設備的數(shù)量，您可以在短短幾個小時內設置一個基本系統(tǒng)。一個簡單的基本系統(tǒng)可能包含一個 Linux 系統(tǒng)日志服務器，該服務器配置為接收從其他啟用系統(tǒng)日志的設備轉發(fā)的事件。這種情況經常發(fā)生，因為許多嵌入式和物聯(lián)網(wǎng)設備運行固件、基本 Linux 或類似 Linux 的操作系統(tǒng)，這些操作系統(tǒng)支持系統(tǒng)日志消息轉發(fā)其內置的事件。

通常，系統(tǒng)日志服務依賴于配置文件，這些配置文件指示它們如何解析傳入消息（事件）并將其寫入簡單文本文件（或在某些情況下直接寫入數(shù)據(jù)庫）。Syslogd是處理系統(tǒng)日志消息的原始系統(tǒng)日志服務之一。多年來，已經開發(fā)了增強的系統(tǒng)日志服務，包括syslog-ng和rsyslog，它們提供了更大的靈活性來根據(jù)傳入的系統(tǒng)日志消息的屬性解析它們。

先進的集中記錄

如果您需要除簡單的集中式日志記錄服務器之外的更多功能，您可能需要考慮使用安全信息事件管理 (SIEM) 平臺或高級日志分析平臺，通過額外的搜索、分析、關聯(lián)、可視化和報告功能擴展集中式日志記錄。一個例子是流行的 Elastic Stack，它包括 Elasticsearch、Logstash 和 Kibana。一些平臺發(fā)布了自己的預配置 Docker 容器鏡像，這使得在您的測試環(huán)境中評估它們變得容易。

設置集中日志記錄的提示

以下是一些其他提示，可幫助您在設置集中式日志記錄服務時牢記于心。

使用網(wǎng)絡時間協(xié)議服務器將所有設備配置為同一時間。

不要忘記適當?shù)貜娀募惺饺罩敬鎯旆詹⒍ㄆ趥浞菟?/p>

將這個集中式日志存儲庫視為您的關鍵基礎設施的一部分。采取適當?shù)牟襟E來保護您的日志記錄基礎設施，例如限制管理訪問、禁用不必要的服務以及安裝基于主機的防火墻。

定期掃描您的日志記錄服務以查找可能被攻擊者利用的軟件漏洞和錯誤配置。

不要忘記花時間配置您的設備，將它們的日志轉發(fā)到您的中央日志服務器。

結論

設置集中日志記錄是您的安全程序的重要組成部分，它將在您最需要的時候提供關鍵信息。即使是使用基本日志服務器從其主機和物聯(lián)網(wǎng)設備收集事件的小型環(huán)境也將從此類服務提供的可見性中受益。

關鍵點：

集中式日志記錄服務提供了跨各種設備和主機的事件日志的重要整合點

針對單個數(shù)據(jù)存儲庫運行查詢比登錄到每個單獨的設備以嘗試收集相同數(shù)據(jù)要高效得多。

許多設備支持系統(tǒng)日志消息轉發(fā)，這意味著您不需要專有解決方案。此外，還存在許多開源選項。

對于更復雜的部署，請考慮支持數(shù)據(jù)分析、可視化和報告的高級日志管理平臺，而不僅僅是簡單的日志收集。

審核編輯：湯梓紅