日志管理是对系统事件日志进行分析、过滤、分类和上报的功能. 使安全团队能够利用日志来发现潜在的可疑活动, 一个安全运营中心(SOC)可能需要一个有效的 安全信息和事件管理(SIEM) 平台,以帮助筛选日志数据和提出相关的警报.
日志文件是: 根据网络安全基础设施和安全局(CISA), 文件,这些文件 提供的数据是 事件响应的基础, 使网络分析人员和事件响应人员能够调查和诊断从网络外围到中心的问题和可疑活动.”
日志文件保存事件的记录(通常是发生的错误事件),以便安全团队可以利用SIEM技术进行调查并在必要时采取行动.
集中式日志管理将环境中的数百万个日常事件直接关联到执行这些操作的用户和资产. 目标是突出整个组织的风险,并在潜在可疑活动发生时优先考虑搜索的位置.
日志管理进程应该能够与现有的安全堆栈集成, 提供查看数据和自定义事件和调查报告的相关上下文. 日志数据, 上下文, 优先调查, 和详细的报告:这就是适当的日志管理的力量.
日志管理和SIEM之间的区别在于,SIEM工具的设计目的是将日志管理功能与其他功能结合起来, 最终目标是制定更强大的安全措施,以更彻底地保护组织.
此时此刻, 任何阅读本文的人可能都会认为现代SIEM是实现一站式日志记录的方式, 数据安全 以更好地保护环境的名义进行分析,并提供有用的、更具可操作性的见解.
但是,每个业务和伴随的安全组织都是独特的,并且有特定的需求. 也许只需要一个日志管理工具. 或者可能需要一个单独的日志管理工具,该工具具有专门用于日志记录的强大功能. 重要的是要评估实际需要什么,以便为正确的工具分配预算,以进一步实现正确的目标.
日志管理很重要,因为它有助于将日志集中到一个工具上,以便安全组织可以进行搜索, 关联, 并从一个地方获得见解. 有了这种能力, 诊断人员可以查明问题,并更快地对其进行优先级调整.
日志管理工具也很重要,因为它们可以通过以下方式使IT和安全组织受益:
这些好处使日志管理工具成为安全组织最重要的方面之一. 在寻求自动化组织大量数据和搜索可操作的见解以持续应对威胁的过程中,它是必不可少的.
就像任何与安全相关的事情一样, 在尝试实现包含健壮日志管理功能的日志管理程序或SIEM平台时,可能会遇到挑战.
现在的许多日志解决方案都可以处理多种格式. 但是,大多数都不能使用自定义日志或平面日志格式. 它可能并不总是能够很好地组织或格式化日志,因为访问应用程序或服务的源代码可能无法更新格式,以便日志解决方案可以处理它们.
日志作为数据是使用日志提取关于系统行为的关键指标或趋势的概念. 日志可以是一个丰富的数据源, 前提是团队可以使用日志格式并对从日志事件中提取的关键指标执行分析功能.
许多传统的日志解决方案都专注于能够简单地索引和搜索日志. 虽然能够有效和高效地搜索日志对于调查和补救非常重要, 对日志事件中的关键指标应用分析是至关重要的.
正确地关联数据可能是一项艰巨的任务. 有许多工具将日志数据发送到一个大的桶中,并为用户提供很大程度上难以理解的结果. 能够访问, 关联, 并实时从日志中获得可操作的见解是SOC成功的关键性能指标(KPI). 确保这些原始事件的数据安全性也很关键.
知道要寻找什么可能是最困难的挑战. 这是专注于搜索和复杂查询语言的日志管理工具的最大问题之一. 如果一种搜索语言不能向用户显示要查找的内容,那么它再强大也没用.
不要被上面的挑战所困, 在建立日志管理工具或处理日志管理功能的大型程序时,建立基线最佳实践非常重要.
不要盲目登录. 相反,请仔细考虑记录的内容及其原因. 日志记录,像任何重要的IT和/或安全组件一样,需要有一个策略. 在构建DevOps设置或甚至发布单个新功能时, 有组织的日志记录计划是必须的. 没有明确的策略, 团队最终可能会发现自己手动管理一组不断增长的日志数据, 最终使识别重要信息的过程复杂化.
应该始终自动收集日志并将其发送到集中位置, 与生产环境分离. 整合日志数据便于组织管理,丰富分析能力, 使SOC能够有效地运行交叉分析并识别不同数据源之间的相关性.
将日志数据转发到集中位置使系统管理员能够授予开发人员权限, QA, 支持团队访问日志数据,而不允许他们访问生产环境. 因此,这些团队可以使用日志数据来调试问题,而不会有影响环境的风险.
端到端登录到集中位置允许动态聚合来自不同来源的各种数据流. 其中包括应用程序、服务器等,用于关联关键趋势和指标. 关联数据可以快速、可靠地识别和理解导致日志管理系统故障的事件.
故障排除和调试只是触及了日志数据所提供的内容的表面. 然而,日志曾经被认为是寻找信息的痛苦的最后手段, 今天的日志工具可以使从开发人员到数据科学家的每个人都能够从他们的应用程序和系统中识别有用的趋势和关键见解.
将日志监视和事件视为数据可以为用户事件和系统活动应用统计分析创造机会. 对事件类型进行分组和对值进行求和,可以对事件进行长期比较. 这种级别的洞察为基于通常在日志之外不可用的数据做出更明智的业务决策打开了大门.
只有高技术团队才能访问的日志监视和管理服务严重限制了组织从日志数据中获益的机会. A log management 和 analytics tool should give developers live-tail debugging; administrators real-time alerting; data-scientists aggregated data visualizations; 和 support teams live search 和 filtering capabilities. 它应该在不需要任何人访问生产环境的情况下完成所有这些工作.