溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
隨著信息威脅的量與各類的增加,組織必須通過大量的數據篩選和異常檢測,識別真正的威脅。
傳統的處理不斷增長的日志和事件數據的方法依賴基礎的日志收集工具或者昂貴的大規模地部署SIEM系統
日志收集準則:
A、日志管理是終端檢測和響應的核心內容:他提供了方便的通道針對興趣事件進行信息診斷,基于事件數據,歷史服務目錄相關的日志信息和事件,并且可以滿足管理策略與工業標準。
B:安全貿易的JACK:為了提供這些福利,中心日志管理系統需要通過操作系統,應用,數據據,IDS/IPS和網絡設備例如防火墻,交換機來收集日志。
C、請回答這個問題,發生了什么?這將幫助你更好地理解你的環境,檢測和防御***,同樣,惡意***者更喜歡掩飾他們的***路徑通過日志刪除或者重置來隱藏他們的活動,因此檢測到他們找到***是非常重要的。
1、優先第一件事:打開你的日志,每個重要的系統都有一個日志你可以啟用,在大量的事件當中,重要的日志不能啟用,因此重要的數失當檢測和響應新型信息威脅時。
2、建立你的日志收集:知道哪些數據需要被收集,在大量的組織中,日志數據將會被收集通過世界性的網絡連接分布在各個地理位置的設備。
創建一個地圖和架構針對你的日志收集,包含日志的位置,類型,除開每天增加的日志,日志保留的時間長度作為活動的和存檔,以及誰訪問了他。
3、使用備份的日志管理唄,通過增加一個或多個備份的日志管理員到你的公司,你可以分配日常管理運行工作來滿足你組織的增長需要,日志副手管理員的作用可以提高表現在給予你基于地理,業務單元或者業務應用劃分日志。
4、準確地收集日志:每一份日志都包含獨一無二的數據,當結合在一起時,累積起來的數據將會提供對新型網絡威脅的洞察能力,在一個分支事件當中,你將需要所有的終端數據:網絡設備日志,操作系統日志,數據庫,應用,服務器以至更多的日志,這些收集過程需確保當系統,設備,或者其他資產壞損時,你可以100%地確保你的日志數據是安全的。
5、集中存儲:因為數據很容易被訪問到,各路收集日志和事件是非常重要發,針對快速調查,取證和檢測、響應終端威脅,好的日志管理產品像tripwire log center可以收集深度的,詳細的日志數據同樣地,終端事件和網絡活動信息,并存儲這些信息在一個大模型數據報告與分析的庫當中。
法院調查一個事件發生的原因與方式可以利益于一套日志與事件管理檔案。當一個調查在路上,他將有助于日志管理工具可以判斷檔案的日間長度,并給予解封日志數據來給予調查和審計,針對雇傭一個高水平的壓縮以減少存儲空間來講也是十分有用的,與此同時保護日志免遭篡改。
6、關聯規則:識別新型信息威脅通過識別可疑的事件基于系統改變,弱配置以及脆弱性的綜合考慮,大量的產品通過拖放的方式來快速定義和定制事件的相關性規則以及過濾和檢測異常現象,可疑行為,改變以及已知的威脅模式與IoC,除此之外,你可以預定義惡意行為與遺漏模型。
7、告警:當你的日志匹配相關連的規則,高級日志管理產品可以識別可能事件并快速地回顧通過使用告警與響應開關,這將減少特殊需要特殊專業知識與資源來創建關聯性規則在眾多的復雜格式當中的必要。
8、一體化:一體化你的日志管理解決方案通過安全配置管理產品比如tripwire enterprise,以及漏洞管理產品比如tripwire ip360來為你的組織提供例外的安全與業務內容,這有助于優先考慮最重要的威脅。
一體化的日志管理系統可以使用關聯規則來檢測和告警影響系統安全狀態的可疑事件。
9、綜合業務,安全,風險,用戶內容:綜合業務和用戶內容可以讓你輕松地監控資產和用戶,什么時候綜合,可可根據近距離的觀察,例如,你可能想要仔細地監控最高價值的資產來記錄哪個承包商進入過,你可以進一步優化風險通過關聯可疑事件。這些事件可以通過 tripwire log center,通過tripwire ip360進行脆弱性識別,通過tripwire enterprise檢測可疑的變更。例如,當使用一個脆弱性管理方案像tripwire ip 360,這個日志管理解決方案可以提供增長網絡和威脅意識在你有環境當中,結合脆弱性信息可提供洞察力,這可以讓你識別風險和優先考慮你的安全精力。
10、收集和轉發:為轉發相關和可按數據到你的SOC和第三方工具例如SIEM,威脅智能解決方案,預過濾日常數據來識別不正常和IOC模型。高級日志管理解決方案可以過濾和檢測不正常,可疑的行為和變更以及基于威脅和IoC數據的模型。
11、自動化:擴展相關規則來提供告警和補救,識別人事以及資源需要被通知,當特殊的情況被識別到,然后延伸相關性來聯系人事責任調查和修補告警,同樣考慮腳本響應針對關聯規則可以自動在移除,減輕或者加固你的終端。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
