為什么需要專業(yè)的日志審計(jì)與分析工具

1、精品文檔你我共享為什么需要專業(yè)的日志審計(jì)與分析工具當(dāng)今的企業(yè)和組織在IT信息安全領(lǐng)域面臨比以往更為復(fù)雜的局面。這既有來(lái)自于企業(yè)和組織外部的層出不窮的入侵和攻擊，也有來(lái)自于企業(yè)和組織內(nèi)部的違規(guī)和泄漏。為了不斷應(yīng)對(duì)新的安全挑戰(zhàn)，企業(yè)和組織先后部署了防病毒系統(tǒng)、防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、UTM，等等，這些復(fù)雜的IT資源及其安全防御設(shè)施、包括網(wǎng)絡(luò)設(shè)備、系統(tǒng) 及應(yīng)用在運(yùn)行過(guò)程中不斷產(chǎn)生大量的日志和事件。這些日志對(duì)于網(wǎng)絡(luò)的正常運(yùn)營(yíng)非常重要， 它記錄了系統(tǒng)每天發(fā)生各種各樣的事情，你可以通過(guò)它來(lái)檢查錯(cuò)誤發(fā)生的原因，監(jiān)控用戶的使用行為，發(fā)現(xiàn)異常情況或者受到攻擊時(shí)攻擊者留下的痕跡。盡管審查日志可以幫助管

2、理人員發(fā)現(xiàn)很多安全入侵和違規(guī)行為，但是由于這項(xiàng)工作對(duì)于管理人員的專業(yè)技術(shù)水平較高，往往很難普及，大多數(shù)情況下只能作為專業(yè)安全服務(wù)公司提供的一項(xiàng)服務(wù)。此外，從信息與網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)來(lái)看，網(wǎng)絡(luò)攻擊的手段越來(lái)越多樣化，并且攻擊手法越來(lái)越隱蔽，并且攻擊者可以借助不同的技術(shù)手段設(shè)置多重跳板，追查變得無(wú)比困難。從企業(yè)和組織內(nèi)部來(lái)看，各類IT資源，設(shè)備飛速膨脹，設(shè)備本身產(chǎn)生的日志數(shù)量也呈指數(shù)級(jí)增長(zhǎng)， 且設(shè)備的日志審計(jì)都相對(duì)孤立，無(wú)法形成有效的關(guān)聯(lián)， 其單獨(dú)的日志分析結(jié)果對(duì)安全問(wèn)題沒(méi)有太大幫助，而海量日志的產(chǎn)生也使分析成為空想，導(dǎo)致日志只能簡(jiǎn)單丟棄， 使網(wǎng)絡(luò)安全的檢測(cè)與審計(jì)變?yōu)榭照??？梢哉f(shuō)，當(dāng)前復(fù)雜的業(yè)務(wù)網(wǎng)

3、絡(luò)環(huán)境使得即便是有經(jīng)驗(yàn)的安全專家也難以透過(guò)傳統(tǒng)的日志審查方式去審計(jì)網(wǎng)絡(luò)安全，而必須借助提高日志審計(jì)效率的外部工具。針對(duì)上述挑戰(zhàn)，網(wǎng)絡(luò)上出現(xiàn)了各種日志收集、分析和審計(jì)工具，并且很多是開(kāi)源和免費(fèi)的。那么，這些免費(fèi)的日志審計(jì)工具，甚至是一些功能簡(jiǎn)單的商業(yè)產(chǎn)品，是否能滿足日常的日志審計(jì)和分析需要呢？在回答這個(gè)問(wèn)題之前，先讓我們來(lái)看看一個(gè)日志審計(jì)系統(tǒng)應(yīng)該由那幾部分組成。對(duì)于一個(gè)日志審計(jì)系統(tǒng)，從功能組成上至少應(yīng)該包括信息采集、信息分析、信息存儲(chǔ)、信息展示四個(gè)基本功能：1）信息采集功能：系統(tǒng)能夠通過(guò)某種技術(shù)手段獲取需要審計(jì)的日志信息。對(duì)于該功能，關(guān) 鍵在于采集信息的手段種類、采集信息的范圍、采集信息的粒度（

4、細(xì)致程度）。2）信息分析功能：是指對(duì)于采集上來(lái)的信息進(jìn)行分析、審計(jì)。這是日志審計(jì)系統(tǒng)的核心，審計(jì)效果好壞直接由此體現(xiàn)出來(lái)。在實(shí)現(xiàn)信息分析的技術(shù)上，簡(jiǎn)單的技術(shù)可以是基于數(shù)據(jù)庫(kù)精品文檔你我共享的信息查詢和比較；復(fù)雜的技術(shù)則包括實(shí)時(shí)關(guān)聯(lián)分析引擎技術(shù)，采用基于規(guī)則的審計(jì)、基于統(tǒng)計(jì)的審計(jì)、基于時(shí)序的審計(jì)，以及基于人工智能的審計(jì)算法，等等。3）信息存儲(chǔ)功能：對(duì)于采集到原始信息，以及審計(jì)后的信息都要進(jìn)行保存，備查，并可以作為取證的依據(jù)。在該功能的實(shí)現(xiàn)上，關(guān)鍵點(diǎn)包括海量信息存儲(chǔ)技術(shù)、以及審計(jì)信息安全保護(hù)技術(shù)。4）信息展示功能：包括審計(jì)結(jié)果展示界面、統(tǒng)計(jì)分析報(bào)表功能、告警響應(yīng)功能、設(shè)備聯(lián)動(dòng)功能，等等。這部分功能

5、是審計(jì)效果的最直接體現(xiàn)，審計(jì)結(jié)果的可視化能力和告警響應(yīng)的方式、手段都是該功能的關(guān)鍵。在了解了日志審計(jì)系統(tǒng)的基本組成之后，我們可以來(lái)看看免費(fèi)和簡(jiǎn)單的商業(yè)日志審計(jì)工具在以上基本功能點(diǎn)上的表現(xiàn)：1 ）從日志的收集方面看，這些工具和產(chǎn)品支持的手段比較單一，僅支持一些常用的方式如Syslog、SNMP。手段單一會(huì)造成有些日志信息無(wú)法采集，例如對(duì)存放在數(shù)據(jù)庫(kù)或者文件 中的日志就不能很好的收集。另外，這類工具收集的性能也比較低，日志量一大，就無(wú)法處理了。2 ）從日志的存儲(chǔ)方式看，這些工具和產(chǎn)品一般把收集來(lái)的日志重新存成文本格式，而又沒(méi)有搜索引擎作為支撐，因此，無(wú)論查詢和分析都非常困難。這類工具和產(chǎn)品也無(wú)法提

6、供歸檔 和恢復(fù)功能，對(duì)長(zhǎng)時(shí)間的日志保存提供不了方案。3 ）在日志分析方面，想要通過(guò)這些工具和產(chǎn)品來(lái)發(fā)現(xiàn)攻擊進(jìn)行報(bào)警就更困難了。例如我們要發(fā)現(xiàn)在一段時(shí)間內(nèi)某用戶重復(fù)多次登錄同一臺(tái)服務(wù)器都失敗的日志告警，這是一個(gè)不特定的告警條件，沒(méi)有明確的用戶名，沒(méi)有明確的服務(wù)器地址，達(dá)到條件的都需告警，對(duì)一般的日志工具和產(chǎn)品來(lái)說(shuō)這根本是完成不了的任務(wù)。4）作為簡(jiǎn)易的日志審計(jì)工具，主要功能在于提供一個(gè)低成本的日志收集方案，存儲(chǔ)、分析和展示能力都大大弱化了。 這些日志審計(jì)工具一般都缺少易用的操控界面， 只提供基于條件 組合的查詢，并且都以表格的形式一行行地將符合條件的日志顯示出來(lái)，只能稱得上是日志查找。一旦日志量大

7、了，條件復(fù)雜了，查找效率便無(wú)法保證。事實(shí)上，在我們參與的日志審計(jì)及IT內(nèi)控項(xiàng)目中，大部分客戶之前都或多或少地采用了一精品文檔你我共享些免費(fèi)的和簡(jiǎn)易的日志采集分析工具。而由于網(wǎng)絡(luò)環(huán)境的日益復(fù)雜，以及來(lái)自外部的IT內(nèi)控與合規(guī)審計(jì)需求日趨強(qiáng)烈，這些客戶都無(wú)一例外地轉(zhuǎn)而尋求獲得更加專業(yè)的商業(yè)解決方 案?？梢哉f(shuō)，免費(fèi)的或者簡(jiǎn)易的日志審計(jì)工具一般用于小規(guī)模的日志采集和存儲(chǔ)的場(chǎng)合，以及一些進(jìn)行輔助性日志收集的場(chǎng)合。 對(duì)于關(guān)鍵業(yè)務(wù)信息系統(tǒng)和網(wǎng)絡(luò)的日志信息， 對(duì)于用來(lái)做合規(guī) 審計(jì)的日志信息，對(duì)于海量的日志信息， 對(duì)于異構(gòu)環(huán)境下的多源日志信息， 簡(jiǎn)易日志工具都 難以勝任，此時(shí)的日志審計(jì)和分析必須使用專業(yè)的日志審計(jì)

8、和分析工具。在這方面，網(wǎng)御神州公司自主研發(fā)的SecFox-LAS 日志審計(jì)系統(tǒng)就是其中的佼佼者。SecFox-LAS 日志安全審計(jì)系統(tǒng)作為一個(gè)統(tǒng)一日志監(jiān)控與審計(jì)平臺(tái)，能夠?qū)崟r(shí)不間斷地將 企業(yè)和組織中來(lái)自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、用戶業(yè) 務(wù)系統(tǒng)的日志、警報(bào)等信息匯集到審計(jì)中心，實(shí)現(xiàn)全網(wǎng)綜合安全審計(jì)。SecFox-LAS 能夠?qū)崟r(shí)地對(duì)采集到的不同類型的信息進(jìn)行歸一化和實(shí)時(shí)關(guān)聯(lián)分析，通過(guò)統(tǒng) 一的控制臺(tái)界面進(jìn)行實(shí)時(shí)、可視化的呈現(xiàn)，協(xié)助安全管理人員迅速準(zhǔn)確地識(shí)別安全事故，消除了管理員在多個(gè)控制臺(tái)之間來(lái)回切換的煩惱，同時(shí)提高工作效率。對(duì)于集中存儲(chǔ)起來(lái)的海量信息，SecFox

9、-LAS 可以讓審計(jì)人員借助歷史分析工具對(duì)日志進(jìn)行深度挖掘、調(diào)查取證、證據(jù)保全。SecFox-LAS 能夠自動(dòng)地或者在管理員人工干預(yù)的情況下對(duì)審計(jì)告警進(jìn)行各種響應(yīng)，并與包括各種類型的交換機(jī)、路由器、防火墻、IDS、主機(jī)系統(tǒng)等在內(nèi)的眾多第三方設(shè)備和系統(tǒng)進(jìn)行預(yù)定義的策略聯(lián)動(dòng)，實(shí)現(xiàn)安全審計(jì)的管理閉環(huán)。SecFox-LAS 為客戶提供了豐富的報(bào)表模板，使得用戶能夠從各個(gè)角度對(duì)企業(yè)和組織的安全狀況進(jìn)行審計(jì)，并自動(dòng)、定期地產(chǎn)生報(bào)表。用戶也能夠自定義報(bào)表。綜上所述，只有通過(guò)專業(yè)的日志審計(jì)分析工具，我們才能達(dá)到如下的目標(biāo)：（1 ）實(shí)現(xiàn)對(duì)各種IT設(shè)備和信息系統(tǒng)的日志的收集，標(biāo)準(zhǔn)化，分類和統(tǒng)一存儲(chǔ)。（2 ）對(duì)各種日志進(jìn)行實(shí)時(shí)審計(jì)分析，發(fā)現(xiàn)違規(guī)行為，并能進(jìn)行告警響應(yīng)。（3 ）對(duì)審計(jì)信息進(jìn)行統(tǒng)計(jì)分析，提供日志審計(jì)報(bào)告報(bào)表，多角度對(duì)網(wǎng)絡(luò)系統(tǒng)的安全狀況進(jìn)行審計(jì)。精品文檔你我共享沁園春雪北國(guó)風(fēng)光