高效IT 安全管理人員8 大日志管理習慣

現今的商業環境中，數據資源是驅動企業向正確方向發展的源泉。例如，零售商需要根據用戶行為數據獲取更多銷售訂單，CEO 需要根據企業之前的運作數據做出有效的決策。同樣的，IT 安全專家需要根據IT 網絡日志數據基礎架構收集到的數據，讓網絡安全遠離威脅、攻擊和破壞。大多數企業的IT 基礎架構都會包括網絡設備（路由器、交換機、防火墻等），系統（Windows、Linux 等）和收集大量日志數據的關鍵業務應用程序。

日志數據如蘊含黃金的礦廠，對安全威脅提供強大的洞察力和安全情報——但這僅僅是在日志數據實時監控和分析時有效。高效的日志數據管理可以幫助IT 安全管理人員減少復雜的網絡攻擊，識別安全事件的原因、監控用戶活動、防止數據泄露，以及滿足常規安全性要求。但是沒有適當的日志管理策略和流程，IT 安全管理人員在確保企業免受攻擊和破壞時，肯定會面臨巨大的挑戰。

下面，我們將介紹高效的IT 安全管理人員在管理日志數據時應采用的8 種習慣。這些日志管理習慣在本質上是相通的，它可以幫助IT 安全管理人員利用日志數據的力量有效地保護其網絡安全。

習慣之1：使用自動化的用戶日志管理工具

分析日志數據是IT 安全管理人員面臨的巨大挑戰。手動監控和分析日志數據是不現實的，因為日志數據值非常巨大，這個過程很容易發生人為錯誤。因此，IT 安全管理人員需要依靠自動化日志管理解決方案，分析由網絡基礎架構產生的巨大數量的日志數據。

使用自動化日志管理工具，IT 安全管理人員可以實時獲得安全情報。使用自動化日志管理解決方案，當應用、系統和設備發生異常情況，IT 安全管理人員可以實時收到通知。僅僅幾秒，自動日志管理工具可以對用戶行為、網絡異常、系統宕機、違反政策、內部威脅等提供強大的參考。

習慣之2：集中收集日志數據

從異構數據源收集日志數據——Windows、Unix、Linux 及其他系統；應用程序、數據庫、路由器、交換機、防火墻等。對于IT 安全管理人員來說，對日志管理的安全防護是一項艱巨的任務。使用多種日志管理工具收集和分析來自數量眾多的設備、系統和應用程序不同格式的日志，這可不是一家公司高效管理日志的方法。

IT 安全管理人員需要配置單個日志管理工具，幫助他們從各種來源解讀各種日志格式。IT 安全管理人員應該選擇具有通用日志收集特性的日志管理工具，這個特性使企業能夠從各種來源收集和分析各種格式的日志數據。集中收集日志數據，使IT 安全管理人員能夠查看網絡上發生的活動，從而及時地形成有效的安全策略。

習慣之3：保持審計狀態，準備就緒的安全報表

每個企業都需要遵守他們自己的內部安全政策或外部監管機構政策，如PCI DSS、SOX、FISMA、ISO27001 和HIPAA。當涉及到外部審計時，IT 安全管理人員必須集中精力滿足外部機構制定的需求，并確保合規審計人員以盡可能小的工作量完成他們的工作。單憑對合規審計人員的口頭保證遠遠不夠。安全報表必須準備充分，并且用適當的日志數據和使用的日志管理工具來備份報表。

習慣之4：執行日志取證調查

網絡問題在日志數據中都可以找到答案。攻擊者往往都會留下痕跡，而你的日志數據可以幫助你識別漏洞的原因，甚至告訴你是誰發起了攻擊。此外，日志數據取證分析報表可以用作法庭證據。手動搜索日志來查找網絡問題的原因，或者在事件中發現規律，就像大海撈針一般。

當IT 安全管理人員真正找尋問題答案時，得到答案卻十分困難。但是如果有了正確的日志取證策略和工具，他們就能得到問題的答案。日志取證工具搜索功能可以幫助管理員進行調查，這樣可以幫助他們快速找到和修復網絡問題和異常行為。日志搜索功能可以讓IT 安全管理人員在整個網絡基礎架構中進行搜索。

習慣之5：主動應對安全威脅

為了解除復雜的網絡攻擊，IT 安全管理人員必須對網絡基礎架構的日志數據進行實時關聯。日志數據關聯功能可以讓IT 安全管理人員在多個日志源同時處理數百萬個事件，以增強網絡安全性，在攻擊或破壞發生之前，主動檢測網絡上的異常事件，實時事件關聯性主動應對威脅。為了防止安全威脅，IT 安全管理人員依靠日志相關工具來加速對網絡事件的監控和分析。

有了數據相關性分析工具，IT 安全管理人員不需要花幾個小時手動跟蹤可疑的網絡行為。日志數據相關性自動檢測并提供關于漏洞、網絡用戶活動、策略違規、網絡異常、系統停機時間和網絡安全威脅的實時告警。

習慣之6：跟蹤用戶活動

當您信任的員工和用戶有權限訪問業務關鍵的應用程序、設備、系統和文件時，會有意無意地引發盜取數據、中斷或系統崩潰。IT 安全管理人員必須通過監視日志數據實時跟蹤整個IT 基礎架構中的用戶活動。日志數據包含關鍵網絡資源上發生的活動完整的審計跟蹤。IT 安全管理人員需要利用日志數據審計跟蹤來獲得用戶的實時活動，找到關于“誰、什么、哪里和如何”的答案。

習慣之7：數據歸檔和保證日志數據安全

日志歸檔是企業滿足合規性要求所必須完成的任務。日志歸檔依賴于企業所需遵守的政策和合規性法則。日志歸檔周期根據合規性審計的不同而有所不同。例如，PCI DSS 要求存檔一年，HIPAA要求存檔七年，而FISMA 要求存檔三年。日志歸檔的另一個原因是日志取證調查，如習慣之4 中所述。

歸檔日志數據必須保護不被更改，以保證其真實性。IT 安全管理人員應該對日志數據進行加密，并通過哈希算法和時間戳防止日志被篡改，以便將來進行取證分析、合規性或內部審計。

習慣之8：持續監控和回顧日志數據

IT 安全管理人員應該將監控和回復日志數據作為常規工作。上述的七個習慣都是為了實現第八個習慣。日志管理不是保護網絡的一次性工作。為了讓您遠離網絡威脅，它應該是一個持續的過程，在這個過程中，日志數據必須進行實時收集、監控和分析。

結論

大多數企業都由眾多的系統、設備和應用程序組成，每個系統生成的日志數據對于檢測異常行為、威脅、漏洞、安全事件、政策違規、用戶活動等等都是至關重要的。利用日志數據，IT 安全管理人員通過主動地網絡威脅防御措施，可以大大地提升企業的整體安全態勢。IT 安全管理人員應將8個日志管理習慣付諸實踐，這樣他們就可以從日志數據中獲取有意義的、可操作的信息和安全情報。

Eventlog Analyzer 是用來分析和審計系統及事件日志的管理軟件，能夠對全網范圍內的主機、服務器、網絡設備、數據庫以及各種應用服務系統等產生的日志，進行收集和細致分析，通過統一的控制臺進行實時可視化的呈現。通過定義日志篩選規則和策略，幫助IT 管理員從海量日志數據中精確查找關鍵有用的事件數據，準確定位網絡故障并提前識別安全威脅，從而降低系統宕機時間、提升網絡性能、保障企業網絡安全。登錄https://www.manageengine.cn/products/eventlog 可以免費試用并申請相關的技術支持！

關注微信

電話：4006608680

網址：www.manageengine.cn