日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

有志于對信息系統(tǒng)所產生的大量數據加以分析的企業(yè)必須檢查用戶訪問、配置變更以及其它日志事件。

專注于為中小企業(yè)提供成都網站設計、網站制作服務,電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)雙湖免費做網站提供優(yōu)質的服務。我們立足成都，凝聚了一批互聯網行業(yè)人才，有力地推動了上千企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網站建設實現規(guī)模擴充和轉變。

無論是為了提升性能、收集商業(yè)情報還是檢測安全威脅，日志管理工作都應被劃分為以下三個步驟：收集日志、存儲數據并通過分析將數據轉化為可識別模式。

然而，作為安全網絡協(xié)會提出的二十大關鍵性安全控制機制之一，日志數據收集與分析并沒有得到大多數企業(yè)的重視及嚴格執(zhí)行。除非法律或者法規(guī)做出明確規(guī)定，否則企業(yè)管理者根本不關心技術人員有沒有定期收集并分析日志內容。IT管理及監(jiān)控軟件企業(yè)SolarWinds公司產品經理Nicole Pauls表示，面對如此規(guī)模的數據總量，信息技術專家很可能搞不清該從哪里入手。

“當人們接觸日志管理工作時，往往會被立刻淹沒在大量數據的海洋當中，”她表示。“大家希望努力找到其中的異常、固有模式或者某些蛛絲馬跡，但這真的非常困難?！?/p>

戴爾安全事務反威脅部門主管Ben Feinstein指出，優(yōu)秀的安全日志分析方案需要包含四大原則。首先，企業(yè)需要監(jiān)控正確的日志對象，例如防火墻、虛擬專有網絡(簡稱VPN)設備、網絡代理以及DNS服務器。其次，安全團隊必須收集那些在企業(yè)網絡中看似“尋?！钡臄祿?。第三，分析人士必須能夠從日志文件中識別出攻擊活動指標。最后，安全團隊必須制定執(zhí)行流程，用于響應通過日志分析識別到的事件。

“如果安全團隊無法從監(jiān)控系統(tǒng)中正確找到負面或者可疑活動，單純將全部日志推向SIEM(即安全信息與事件管理)系統(tǒng)對于安全工作其實毫無用處，”Feinstein解釋稱。

根據安全專家的建議，企業(yè)應該著重檢查五種事件類型。

1. 異常用戶訪問

Windows安全日志以及Active Directory域控制器記錄是發(fā)現網絡惡意活動的良好起點。根據惠普Arcsight產品營銷經理Kathy Lam的說法，權限、來自未知位置的遠程用戶登錄以及利用一套系統(tǒng)訪問其它內容的行為都是惡意活動的顯著特征。

“在觀察惡意攻擊類型以及黑客進入業(yè)務環(huán)境的過程中，我們發(fā)現惡意人士往往會在數月甚至超過一年的漫長周期中始終冒充普通用戶，”她指出?！巴ㄟ^整理網絡活動基準并將當前活動與之相比較，安全人士能夠切實發(fā)現攻擊活動?！?/p>

在安全工作當中，最重要的保護群體要數那些特權賬戶——這部分用戶在各類網絡系統(tǒng)中擁有管理員級別的權限。由于這些賬戶有能力對網絡進行深層變更，因此大家需要打起十二分精神對其加以監(jiān)控。

2. 與威脅指標相匹配的模式

企業(yè)還應當將日志中的數據與其它各類來源信息加以比較，包括建立黑名單或者更具完整性的威脅情報服務，SecureWorks公司 的Feistein建議道。

威脅指標能夠幫助企業(yè)識別可疑IP地址、主機名、域名以及來自防火墻、DNS服務器或者網絡代理日志的惡意軟件簽名。

“網絡代理日志對于網絡流量而言是一種強大的觀察立足點，它會對網絡體系加以遍歷、了解終端系統(tǒng)如何與外部網絡相對接，”他表示。

3. “窗口”以外的配置變化

獲得了系統(tǒng)訪問權限的攻擊者通常會嘗試進一步改變配置以實施惡意活動，并為自己在網絡中構建更為堅實的立足點。

由于大多數企業(yè)都為配置變更設定了限制時間，例如每周、每月或者每季度一次，因此由惡意人士執(zhí)行的配置變更——例如放開系統(tǒng)控制機制或者關閉日志記錄——應該引起我們的警覺。這類跡象說明攻擊活動正在進行，SolarWinds公司副總裁Sanjay Castelino解釋道。

“這些變更通常只應該發(fā)生在一個很小的‘窗口’當中，一旦此類配置變更出現在窗口之外，就說明異常情況已經發(fā)生，”他補充稱。

在某些情況下，分析機制能夠提供幫助。一般來說，安全管理產品所制定的規(guī)則相當復雜，我們很難通過簡單分析判斷這些規(guī)則是否屬于惡意活動，Castelino指出。相反，安全團隊則能夠以維護窗口為界線輕松識別惡意變更。

4. 奇怪的數據庫事件

由于數據庫是企業(yè)基礎設施當中的重要組成部分，因此企業(yè)應當通過嚴格監(jiān)視數據庫事件來檢測惡意活動。舉例來說，我們需要對嘗試選擇并復制大量數據內容的查詢請求加以密切關注。

此外，僅僅監(jiān)控數據庫的通信活動還遠遠不夠。雖然日志事件會給數據庫性能造成一定影響，但掌握全部事件的詳細記錄對于成功預防數據泄露事故而言至關重要，安全管理企業(yè)Solutionary公司工程研究團隊研究主管Rob Kraus指出。

“當客戶要求我們出示證據，證明哪些記錄曾經接受訪問而哪些記錄不允許接受訪問時，數據庫事件的詳細日志的價值將得到充分體現，”他表示?！叭绻@些事件沒有經過日志記錄，會給企業(yè)造成很大麻煩?？偠灾敲鞔_記錄下所有數據庫事件，否則我們很難證明哪些記錄曾被訪問過?！?/p>

5. 新的設備-用戶組合

在移動設備與自帶設備趨勢興起之前，企業(yè)可以將任何新接入網絡環(huán)境的設備默認視為可疑活動。然而時至今日，我們已經不能再將此作為衡量指標，SolarWinds公司的Castelino表示。

相反，企業(yè)應當將設備與用戶相匹配，并將這種變更視為常規(guī)事件，他指出。

“大家可能仍然需要對設備進行標記，但應該將設備與用戶結合起來進行整體標記，”他解釋道?！耙驗槿绻野炎约旱钠桨鍘霕I(yè)務環(huán)境，其他同事不應該通過它登錄業(yè)務體系?！?/p>

原文鏈接：http://www.darkreading.com/monitoring/5-signs-of-trouble-in-your-network/240160980

網站題目：網絡體系出現問題的五大征兆
地址分享：http://www.5511xx.com/article/ccecgeo.html