企业安全日志分析 五大问题需重点注意
Dell SecureWorks的反威胁部门运营和开发主管Ben Feinstein表示,良好的安全日志分析主要围绕四个原则。首先,企业需要监控正确的日志,包括来自防火墙、虚拟专用网络(VPN)设备、web代理服务器和DNS服务器的数据。接下来,安全团队必须收集企业网络内“正常”数据。第三,分析师必须能够识别其日志文件中表明存在攻击的数据。最后,安全团队必须有一个程序用于响应日志分析中确定的事件。
Feinstein表示,“如果你的安全团队不知道可疑行为是什么样子,那么把所有的日志都放到SIEM系统里是没有意义的。”根据安全专家表明,企业应该检查下面五个类型的事件:
1. 用户访问异常
Active Directory域控制器的Windows安全日志和记录是发现网络中可疑活动的第一个位置。权限更改、用户从远程未知地点访问,以及用户访问一个系统访问另一个系统,都可能是可疑活动。
惠普ArcSight公司产品营销经历Kathy Lam表示,“当我们在看攻击类型,以及攻击者如何进入环境时,他们通常冒充用户在网络内潜伏数月,甚至超过一年,通过查看正常活动基准,以及当前活动与基准的对比,就能找出可疑活动。”
尤其重要的是特权账户,即在网络中多个系统具有管理员权限的用户。由于这些账户在网络中拥有更多的权利,企业应该更密切地监控这些账户。
2. 与威胁指标匹配的模式
公司还应该对比其日志中的数据与他们能够获得的威胁指标--无论是通过建立黑名单,还是更全面的威胁情报服务。
威胁指标可疑帮助企业识别防火墙、DNS服务器或者web代理服务器日志中可疑的IP地址、主机名称、域名和恶意软件签名。他指出:“web代理服务器日志对网络流量有着强大的可视性,即你的端点系统是如何连接到网络的。”
3.计划外的配置变更
获取对系统的访问的攻击者通常会尝试更改配置来进一步攻击,以及在网络中获得立足点。SolarWinds公司副总裁Sanjay Castelino表示,由于大多数企业限制配置更改到每周、每月或者每季度的有限时间内,这些配置更改(无论是打开系统还是关闭日志记录功能)都可能表明攻击正在进行中。
在某些情况下,这种分析可以帮助企业发现攻击。用于管理安全产品的规则通常非常复杂,我们很难通过简单的分析来检查这些规则是否是恶意。相反地,安全团队很容易标记出任何在特定维护期外的变更。
4. 奇怪的数据库传输
因为数据库是企业基础设施的重要部分,企业应该监测数据库传输情况来发现可疑活动。例如,试图选择和复制大范围数据的请求应该得到密切关注。
此外,监控数据库通信是不够的。虽然记录数据传输情况可能会影响数据库性能,但在调查数据泄漏事故时,这些记录是非常有价值的。安全管理公司Solutionary的工程研究团队研究主管Rob Kraus表示:“当客户问我们哪些记录被访问了,我们可疑证明哪些记录没有被访问,足迹通常会牵引到数据库。如果没有记录这些数据,这会带来真正的挑战,你也说不清到底哪些记录被动过。”
5.新设备用户组合
在移动设备和携带自己设备到工作场所趋势出现之前,企业可以将任何连接到网络的新的设备视为可疑对象。但现在,这已经不再是一个威胁指示。
企业应该链接设备到其用户,并将变更视为可疑事件。他表示,“你可能想要标记设备,但你更应该将设备与用户联系在一起,因为如果我带我的平板电脑来上班,其他人不应该使用它来登录。”
- 08-05面对新领域,IT安全团队如何实施有效防护?
- 08-05浅谈网络安全的几个主要技术,网络安全主要有哪些关键技术?
- 08-05云正在诱使我们自满于安全吗?
- 08-05面向企业的10大物联网安全风险
- 08-05企业信息安全基础架构
- 08-05用了边缘计算,你的数据就真的安全了吗?
- 08-05有备无患:防止数据丢失的4种有效方法
- 08-05东方联盟:云安全的12个阴暗面
- 01-11全球最受赞誉公司揭晓:苹果连续九年第一
- 12-09罗伯特·莫里斯:让黑客真正变黑
- 12-09谁闯入了中国网络?揭秘美国绝密黑客小组TA
- 12-09警示:iOS6 惊现“闪退”BUG
- 12-05亚马逊推出新一代基础模型 任意模态生成大模
- 12-05OpenAI拓展欧洲业务 将在苏黎世设立办公室
- 12-05微软质疑美国联邦贸易委员会泄露信息 督促其
- 12-05联交所取消宝宝树上市地位 宝宝树:不会对公
- 12-04企业微信致歉:文档打开异常已完成修复