GHOST系统之家 - Windows系统光盘下载网站!
当前位置:GHOST系统之家>电脑问题 > 日志管理的九个建议

日志管理的九个建议

来源:Ghost系统之家浏览:时间:2023-08-17 09:42:44

日志是溯源取证的核心。但是,日志只有被完整地收集、长时间地储存,并包含所有调查需要的信息,同时不被恶意人员提前获取的情况下,才有价值——这才是重中之重。

谷歌云的首席安全解决策略专家AntonChuvakin博士表示:“企业如何能够减少攻击者隐藏他们行踪,甚至破坏日志文件的行为?答案很明显:用一个日志管理工具中心化管理日志。不管是2021年,2011年,2001年,甚至可能1991年,都不会变。”

但是,所有安全专家都知道,1991年日志管理的情况远远没有现在的复杂、庞大。日志管理需要不出差错地记录数据事件——而现代业务有着海量的数据。

这样一来,管理不计其数的日志就成了日常难题;需要满足越来越多的法律法规进一步提升了复杂度——比如HIPPA要求日志保留至少六年,而SOX要求七年,BaselIIAccord则要求三到七年。

因此,日志管理需要做得合理、正确,并且精确,不能做得过多,也不能做得太少——要恰到好处,以一种能够完全帮助溯源取证的方式进行,甚至当罪犯刻意隐藏自己行为的时候都能实现追踪。

一些专家在DarkReading上分享了九条和日志管理相关的实践建议。

将日志从原本的设备和系统中剥离出来

犯罪分子总是针对特定的系统和设备,并将他们的相关操作日志移除,以掩盖自己的行踪。如果通过工具将日志从设备和系统中导出,并存储在一个分开、安全的位置,就能够确保好人依然能够看到坏人的所作所为。

Salminen同样还是OSCP,他还提醒到,有许多组织已经有这样的工具了,但是有一部分企业依然没有使用这些工具实行相关操作。

除此以外,Salminen表示,他见到的最多的问题是“组织从来不记录事件,或者不将日志保存足够长到判断攻击者是否有成功攻击系统的时间。”

在不同位置记录日志

全球资讯公司AlixPartners的SVP,KevinMadura则认为,企业应该在成本和算力的限制下,尽可能有“更多冗余的日志点”,包括应用、应用服务器、网站服务器、负载均衡器、以及如防火墙、交换机、路由器和终端之类的网络设备。“

在网络的不同位置进行日志记录非常关键。这样能帮助调查人员理解攻击者如何潜入,以及他们在网络中的行踪,还有他们在初始入侵之后的意图。”他提到,“这也能帮助发现哪些系统和数据可能在攻击中沦陷,然后决定是否有其他系统应该进行犯罪调查。”

通过云端防护

将日志迁移到云端还能让犯罪份子的工作更加复杂。

CatoNetworks的安全主任EladMenahem提出:“保护日志系统的第一缓解方式,考虑用基于云的日志解决方案。将日志服务器到云端会让攻击者攻击两个网络,而不是一个。同时,云服务商会比普通的企业在安全方面投入更多成本。”

但无论是自己保护日志系统,还是在云端,日志备份总是一个好主意——因为攻击者不总是破坏日志,有时候他们会修改日志,或者通过活动过载等各种方式污染日志内容。

在犯罪数据中加入储存媒介的图片

一图往往胜千语——尤其是当图片能把握到一些日志之外,却和事件相关的信息的时候。“

许多犯罪调查是通过浏览存储媒介的图片,而非浏览日志解决的。不时对虚拟机截屏并且保存相关图片,能对攻击者的行为带来非常有价值的情报。”全球法律公司HoganLovells的合伙人PeterMarta如是说到,他同时也是前摩根大通银行的全球网络安全法律负责人,“历史截屏往往比事件后系统的截图更有价值,因为事件后的截图往往会被加密或者掩盖。”

另一方面,备份也并非是在攻击中的万灵药,因为备份“往往只存储数据分区,极少会储存未分配分区的数据——而这些数据往往对识别已删除文件至关重要。”

不要太快下线受攻击系统

几乎每个人都想着在发现攻击的时候最快下线他们的系统。

而事实上,Marta认为:“虽然这种行为可以理解,但是这么做会错过全面理解系统中在发生什么事件的机会,尤其是当下的恶意软件在不断演进到各种变体,甚至不会触碰到存储媒介。在下线系统前对内存进行一次快照非常有意义。

”事实上,内存总是攻击事件中的核心,行为的记录都会内存中产生。

德勤在网络和战略风险的风险与金融咨询专家StevenBaker建议:“确保安全团队的每个人都有内存分析的能力。大部分恶意软件都不会直接对磁盘进行写入,而是直接在内存中运行,因此如果没有适当的技能和实践会很难进行分析。IT团队中应该有一个稳定的流程,能够在调查前,从可疑系统中抓取内存信息。如果相关人员调查后没有发现问题,那就删除那部分内存继续下一个调查;如果发现了蛛丝马迹,就能根据内存进一步分析。”

知道哪些日志文件是有帮助的

尽管根据事件的类型,有帮助的文件类别各不相同,但是有一些共性点总是有价值的。Salminen认为以下几个都是需要关注的点:

  • 接入互联网系统的IP地址的日志——这些是许多类型事件的调查核心。
  • 失败的认证尝试可以帮助调查人员识别一般的口令猜测攻击。
  • 文件创建记录对调查人员而言总是有价值的日志数据。具体来说,识别一个解压缩文件的创建位置,以及哪些数据被放入解压缩文件了,往往是判别哪些数据准备被泄露的关键步骤。
  • RDP日志以及远程控制连接日志通常能帮助调查人员描绘出威胁因素在网络中的移动路线。
  • 数据库请求日志有时候能帮助调查人员判断哪些数据被接入了。

测试日志的有用性

不是所有的日志都是被“平等”地创建的,因此最好检查一下这些日志到底有什么用——特别是在企业真正需要使用这些日志之前。“

战争游戏可以帮助企业知道企业的日志文件到底有什么用,以及日志缺口在哪。”Baker表示,“一次常见或者目标驱动的网络攻击模拟可以帮助企业决定哪些数据对了解事件全局以及进行根因分析是至关重要的。”

知道其他组织认为有用的日志消息也是一个不错的方式。谷歌云的Chuvakin提到,他最喜欢的日志类型是服务器/端点、远程接入、多种安全工具(IDS/IPS、杀毒软件)、以及云端(通过CAS认证协议的SaaS、IaaS)日志。

敬业消除

要管理的日志数量的增加速度丝毫没有下降的趋势,但是也不应该为了存储更多日志而过快删除之前的日志。

InfosecInstitute的信息安全作者KeatronEvans认为:“即使有一个强大的SIEM工具,日志管理依然会很艰难。另外,这些日志也并非总是被保存好。日志的巨大数量意味着它们通常需要被消除,为新的日志腾出空间。存储能力对企业日志管理而言是一个主要挑战。”

尽管说日志只是安全架构和计划中的一部分,但是对于犯罪调查来说却非常重要。“

关键是要在网络攻击发生前形成有效的响应策略,任何的日志如果一开始没有被配置好,都是无法检测到事件的。”Baker提到。

不要做过度

提前准备往往能省下不少时间,这意味着提前管理好日志。但是注意:过度准备也会产生大量不必要的成本。

“记录所有东西很简单,但是如果不基于自己的需求仔细处理,最后反而会增加自己的风险,而不是减少风险。”AlixPartners的Madura表示。

未加密的PII、用户数据、口令等其他敏感信息会因为采集所有记录的信息而被意外收集,产生额外风险。

但即使如此,也不代表日志做得少就更好。佛洛里达国际大学的讲师MattRuddell强调:“虽然说海量的数据看上去很可怕,优秀的犯罪调查人员应该有足够强大的软硬件处理这些日志。不过,这也确实会成为一个问题,因为数字犯罪的调查人员总是为了能让自己的设备和成本跟上时代而在努力争取足够的预算。”

推荐系统

  • 电脑公司Ghost Win8.1 x32 精选纯净版2022年7月(免激活) ISO镜像高速下载

    电脑公司Ghost Win8.1 x32 精选纯净版2022年7月(免激活) ISO镜像高速下载

    语言:中文版系统大小:2.98GB系统类型:Win8

    电脑公司Ghost Win8.1x32位纯净版V2022年7月版本集成了自2022流行的各种硬件驱动,首次进入系统即全部硬件已安装完毕。电脑公司Ghost Win8.1x32位纯净版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,精心挑选的系统维护工具,加上绿茶独有

  • 微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载

    微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载

    语言:中文版系统大小:5.13GB系统类型:Win11

    微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Win11 64位 Office办公版(免费)优化  1、保留 Edge浏览器。  2、隐藏“操作中心”托盘图标。  3、保留常用组件(微软商店,计算器,图片查看器等)。  5、关闭天气资讯。 

  • Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载

    Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载

    语言:中文版系统大小:4.75GB系统类型:Win11

    Ghost Win11 21H2是微软在系统方面技术积累雄厚深耕多年,Ghost Win11 21H2系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Ghost Win11 21H2是微软最新发布的KB5019961补丁升级而来的最新版的21H2系统,以Windows 11 21H2 22000 1219 专业版为基础进行优化,保持原汁原味,系统流畅稳定,保留常用组件

  • windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载

    windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载

    语言:中文版系统大小:5.31GB系统类型:Win11

    windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化

  • 微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载

    微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载

    语言:中文版系统大小:5.31GB系统类型:Win11

    微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载

  • 微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件

    微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件

    语言:中文版系统大小:0MB系统类型:Win11

    微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为

  • 雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载

    雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载

    语言:中文版系统大小:4.75GB系统类型:

    雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统

  • 雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO

    雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO

    语言:中文版系统大小:5.91GB系统类型:Win7

    雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户