在使用日志的過程中,人們常常會面臨五大誤區。克服這些誤區,不僅可以大大提升安全設施的價值,而且能夠及時化解潛在風險。
為了應對不斷湧現的安全威脅,許多企業都部署了多種安全設備。這些設備生成大量的日志信息。為了利用這些信息,許多企業還部署了日志收集和分析程序。即使如此,許多用戶仍然認為安全設備的作用沒有達到期望值。之所以發生這種情況,常常是由於人們在日志分析中的五個誤區所造成的。
不查看日志
許多用戶都會犯一個低級錯誤—不查看日志。雖然收集和存儲日志很重要,但只有經常查看日志,了解網絡環境中發生了哪些情況,才能及時做出響應。一旦部署了安全設備並且收集了日志,用戶需要對其進行持續監控,以及時發現可能發生的安全事件。
一些用戶只在重大事件之後才審查日志,盡管這些用戶能夠獲得事後分析的好處,但沒能獲得事前預防的好處。主動查看日志有助於用戶更好地實現安全設施的價值,了解攻擊行為將在何時發生並及時采取措施。
許多用戶總愛抱怨入侵檢測系統( IDS )不能起作用。造成這一問題的重要原因就是,IDS經常產生誤報,使人們無法根據其警告信息采取行動。如果人們將IDS日志與其他日志(如防火牆日志)進行全面關聯分析,就能充分發揮IDS的作用。
沒區分日志的優先次序
日志已經收集完畢,存儲時間也足夠長,並且日志格式也統一了,接下來網管員應該從何處著手呢?建議用戶設法獲得高水平的摘要以查看最近的安全事件。這需要克服另外一個錯誤,即不區分日志記錄的優先次序。一些網管員理不清優先次序就研究大量的日志數據,結果就會半途而廢。
有效優先化的第一步就是對策略進行定義。回答下列問題會有助於定義策略:“最擔心什麼?”“攻擊得逞了嗎?”“以前發生過這種攻擊嗎?” 可幫助用戶開始制定優先化策略,減輕用戶每天收集日志數據的負擔。
日志格式不統一
日志格式不統一十分普遍:有的基於簡單網絡管理協議,有的則基於Unix系統。缺乏統一的日志格式,導致企業需要不同的專家來從事日志分析,這是因為並非所有通曉Unix日志格式的管理人員都能看懂Windows事件日志記錄,反之亦然。多數網管員通常只對少數系統熟悉,將設備生成的日志信息轉換為統一的格式有利於網管員進行關聯分析和進行決策。
日志存儲時間太短
許多用戶認為自己擁有進行監控和調查所需要的所有日志,但是在遭遇安全事件之後才發現,相應的日志信息已經被刪除了。安全事件通常是在攻擊或濫用行為發生後很長時間才被發現。 如果費用緊缺,建議用戶將保留的日志分為兩個部分:短期的在線存儲和長期的離線存儲。將舊日志信息存儲在磁帶中,既能節約離線存儲的成本,還能長久保存以備未來分析。
只查找已知的不良信息
即使最先進和最注意安全的用戶有時也會陷入網絡陷阱。這種網絡陷阱十分陰險,會嚴重降低日志分析的價值。如果用戶只查看已知的不良信息時,這種事情就會發生。
交換機在查找日志文件中已定義的不良信息時,顯得十分有效。然而要充分實現日志數據的價值,就需要進行日志的深度挖掘。在沒有預先想定所需要的不良信息前提下,用戶可以在日志文件中發現一些有用信息,包括遭受攻擊和感染的系統、新的攻擊、內部濫用和知識產權偷竊等。怎樣才能提高發現潛在攻擊行為的機率呢?這需要借助數據挖掘方法,數據挖掘可以使用戶快速查找日志數據中的異常信息。