网络安全的 10 个步骤之日志记录和监控分析

设计系统,使其能够检测和调查事件。

收集日志对于了解系统是如何使用的至关重要,并且是安全(或保护性)监控的基础。如果出现问题或潜在的安全事件,良好的日志记录实践将能够回顾发生的事情并了解事件的影响。安全监控更进一步,包括对日志信息进行主动分析,以寻找已知攻击或异常系统行为的迹象,使组织能够检测可能被视为安全事件的事件,并做出相应的响应,以最大限度地减少影响。


有什么好处?

  1. 良好的日志记录实践提供了理解、跟踪和响应系统和安全事件的能力

  2. 安全监控提供对系统的洞察,并允许主动检测威胁和潜在的安全事件

  3. 安全监控为系统引入了额外的防御层

  4. 主动监控系统提供了对早期入侵迹象做出反应的机会,这意味着组织可以有效地做出反应

该怎么办?

了解日志记录和监控目标

  • 在设计监控解决方案时,应该与系统环境、组织面临的威胁以及可用的资源成比例。这样做将构建一张图,能够确定实际比例。此图将帮助确定适合系统的监控级别。没有一刀切的解决方案,可能只是收集日志以防万一安全事件适合。

  • 相反,组织可能会频繁遭受网络攻击,或者可能需要通过监控控制来解决风险,这可能需要一个能够检测和响应高级攻击的安全运营中心 (SOC)。

  • 在所有级别,主要优先事项应该是能够响应事件,为此,需要日志。NCSC 的安全日志简介指南提供了一个很好的起点,将帮助组织设计一种日志记录方法,以帮助回答事件期间最关键的问题。

  • 美国MITRE ATT&CK框架可帮助定义监控策略。是涉及可以使用的基于结果和威胁建模的方法

确保日志在需要时可用于分析

  • 了解日志的存储位置,并确保具有适当的访问权限以便能够搜索它们。

  • 确保日志保存足够长的时间,以便能够回答在事件期间会被问到的问题。检测到事件可能需要数月时间,因此 建议将最重要的日志存储至少 6 个月。保留日志数据的时间可能因每个来源而异,具体取决于存储的成本和可用性,以及不同数据类型的数量和实用性。规划存储翻转,避免磁盘填满和服务失败。

  • 考虑要将哪些日志绘制到集中位置以跨数据集进行分析。对于某些数据集,根据需要调用这些日志存储可能是合适的。如果将日志发送到中央日志服务,请在适当的情况下使用传输加密和单向流控制。

  • 开发一种方法以确保仍按预期捕获日志。这可能是日志消息停止集中到达时的自动警报,或者是未捕获定期测试事件时(应该捕获时)的警报。

  • 保护日志免遭篡改,这样攻击者就很难隐藏他们的踪迹,而且您可以确信它们准确地代表了所发生的事情。

使用日志生成有用的见解

  • 设置定义适当使用的安全策略并根据业务需求配置系统(结合风险评估)将使您能够开发监控服务,该服务分析日志以验证这些策略是否按预期执行或遵循。这对于确保所有用户活动符合相关法律或监管限制也很有用。

  • 利用您对系统上下文的了解,根据预期的威胁创建检测警报。这有助于确保生成的警报与您组织的需求相关,并且该操作与告知风险相关。

  • 考虑需要监控的位置,这应包括网络、设备和云服务(如适用)。监控解决方案既可以提供基于签名的功能来检测已知攻击,也可以提供启发式功能来检测异常系统行为。

制定事件响应计划

  • 通过锻炼来测试检测事件的能力,并将从实际事件中吸取的任何经验教训融入监控解决方案中。许多组织仅在实际事件发生时才意识到他们的日志记录和监控系统已损坏或不足。积极锻炼可以帮助避免陷入困境并改善的系统。

  • 确保组织的事件管理计划与日志记录和监控策略保持一致,以便已经有一个计划来处理监控系统可以检测到的任何事件。然后可以执行该计划以确保突出并解决任何与沟通和能力有关的问题,并且实践将使团队能够更自信地对任何真实事件做出反应。

随时了解情况

  • 利用威胁情报。注册网络安全信息共享合作伙伴 CiSP,以接收并与行业和政府同行共享威胁信息和入侵指标。

法治日:网络安全法中你什么角色?应该履行什么义务呢?

网络安全宣传周校园日:守护网络安全,构建和谐校园

网安周今日开幕,网络安全有多重要?看总书记讲话就知道

网络安全的 10 个步骤之架构和配置

网络安全的 10 个步骤之供应链安全

网络安全的 10 个步骤之数据安全

网络安全的10个步骤之事件管理

网络安全的 10 个步骤之身份鉴别和访问控制

网络安全的 10 个步骤之风险管理

网络安全的 10 个步骤之资产管理

网络安全的 10 个步骤之漏洞管理

网络安全等级保护:来一份定级指南思维导图学定级

网络安全等级保护:等级保护对象的定级过程

网络安全等级保护:等级保护对象的定级与保护
网络安全等级保护:等级保护中的密码技术
网络安全等级保护:网络产品和服务安全通用要求之基本级安全通用要求
网络安全等级保护:政务计算机终端核心配置规范思维导图
网络安全等级保护:网络安全等级保护基本技术
(0)

相关推荐

  • 什么是应急响应?网络安全应急响应体系的要素

    学习网络安全的小伙伴,肯定都听说过应急响应,那么到底什么是应急响应?网络安全应急响应体系的要素是什么?这是每个网络安全工程师需要了解的问题,我们一起来学习一下吧. 什么是应急响应? "应急响 ...

  • 网络安全日志留存合规解决方案

    背景概述 网络近年的飞速发展已经和经济社会高度融合,不论是日常出行打车.买票看电影.点个外卖打包,还是早餐结账.菜市买菜等等都离不开网络的支持. 在这个大的时代背景下也突显了网络安全的重要性,一旦网络 ...

  • 核电工控系统网络安全浅析

    核电站作为未来世界最为重要的能源供应中心,保障核电站的安全稳定运行是开发利用核电的前提.近年来,随着工业化.信息化进程的加快,数字化控制技术广泛应用于核电站的生产运行,工控网络安全风险也不断向核电领域 ...

  • 防病毒管理策略

    防病毒管理目的是规范防病毒管理过程,加强病毒的预防和治理,提高病毒防范能力,提升病毒处置水平,防范和化解病毒带来的信息安全风险,保障信息系统安全稳定运行. ▼▼防病毒管理原则 病毒防治工作遵循&quo ...

  • 2018年网络安全趋势及解决方案

    网络安全已经不再仅仅是信息技术的一个门类,不在只是局限于信息系统的安全,已经上升到国家安全的战略地位,是继陆.海.空.天这外的第五个国家主权空间.18年中央网信办.公安部.工信部.各省市政府.标准制定 ...

  • 网络设计安全评估checklist

    网络设计安全评估内容包括网络整体架构.网络访问控制.网络通信保密.威胁防护.网络管理.网络可用性六个方面. 网络整体架构 ▼▼网络结构 网络结构是否合理? ▼▼安全隔离 内外网之间是否采用合适的隔离措 ...

  • 如何利用量化指标评价网络安全建设成熟度(三):安全控制评价指标

    安全控制水平评价指标共60个,按安全控制类别分,其中物理安全评价指标15个.终端安全评价指标10个.网络安全评价指标15个.系统安全评价指标10个.数据安全评价指标10个:按安全成熟度级别分,每一级评 ...

  • 网络安全应急响应技术实战指南

    用于安全事件响应的工具与资源的列表,旨在帮助安全分析师与 DFIR 团队. DFIR 团队是组织中负责安全事件响应(包括事件证据.影响修复等)的人员组织,以防止组织将来再次发生该事件. 目录 对抗模拟 ...

  • 网络安全的 10 个步骤之风险管理

    首先再次祝大家国庆节快乐,假期收获满满! 采取基于风险的方法来保护数据和系统. 承担风险是做生意的自然组成部分.风险管理为决策提供信息,以便在威胁和机会之间取得适当的平衡,以最好地实现组织业务目标.网 ...

  • 网络安全的 10 个步骤之资产管理

    了解管理哪些数据和系统,以及它们支持哪些业务需求. 资产管理包括建立和维护资产所需知识的方式.随着时间的推移,系统通常会有机地增长,并且很难保持对环境中所有资产的了解.事件的发生可能是由于没有完全了解 ...

  • 网络安全的 10 个步骤之漏洞管理

    国庆快乐, 假期最后一天, 祝愿大家归家路上一路畅通! 在整个生命周期内保护系统. 大多数网络安全事件是攻击者利用公开披露的漏洞来访问系统和网络的结果.一旦漏洞被披露,攻击者通常会不加选择地寻求利用漏 ...

  • 网络安全的 10 个步骤之身份鉴别和访问控制

    控制谁和什么可以访问系统和数据. 需要保护对数据.系统和服务的访问.了解谁或什么需要访问,以及在什么条件下,与了解谁需要被排除在外同样重要.必须选择适当的方法来建立和证明用户.设备或系统的身份,并有足 ...

  • 网络安全的 10 个步骤之数据安全

    保护易受攻击的数据. 需要保护数据免遭未经授权的访问.修改或删除.涉及确保数据在传输.静止和寿命结束时受到保护(即,在使用后有效地消除或销毁存储介质).在许多情况下,数据不受组织直接控制,因此考虑可以 ...

  • 网络安全的10个步骤之事件管理

    提前计划对网络事件的响应. 事件可能对组织的成本.生产力和声誉产生巨大影响.但是,良好的事件管理会在事件发生时减少影响.能够检测并快速响应事件将有助于防止进一步的损害,减少财务和运营影响.在媒体聚光灯 ...

  • 网络安全的 10 个步骤之供应链安全

    与供应商和合作伙伴协作. 大多数组织依靠供应商来交付产品.系统和服务.对供应商的攻击可能与直接针对自己的组织的攻击一样造成损害.供应链通常庞大而复杂,有效地保护供应链可能很困难,因为漏洞可能在其中的任 ...

  • 网络安全的 10 个步骤之架构和配置

    安全地设计.构建.维护和管理系统. 技术和网络安全格局在不断发展.为了解决这个问题,组织需要确保从一开始就将良好的网络安全融入到他们的系统和服务中,并且这些系统和服务可以得到维护和更新,以有效地适应新 ...

  • 网络安全的 10 个步骤之安全培训

    协作构建适用于组织中人员的安全性. 人应该是任何网络安全战略的核心. 良好的安全性考虑到人们在实践中的工作方式,并且不会妨碍人们完成工作.人们也可以成为预防事件(或检测何时发生)的最有效资源之一,前提 ...