對(duì)數(shù)據(jù)安全的關(guān)注以及對(duì)云計(jì)算、數(shù)據(jù)分析和人工智能 (AI) 的持續(xù)推動(dòng)凸顯了數(shù)據(jù)聚合和分析為企業(yè)帶來(lái)的優(yōu)勢(shì)。受益于這些新工具的一個(gè)利基領(lǐng)域是實(shí)時(shí)處理大量安全日志，以幫助檢測(cè)和跟蹤安全問(wèn)題。提供這些功能的商業(yè)智能工具的數(shù)量現(xiàn)在比以往任何時(shí)候都更容易獲得。越來(lái)越多的組織正在將這些新工具作為其數(shù)據(jù)安全工具包的常規(guī)部分，以幫助過(guò)濾、解析和可視化數(shù)據(jù)，從而幫助發(fā)現(xiàn)趨勢(shì)或突出異常。物聯(lián)網(wǎng) (IoT) 的普及意味著需要跟蹤和管理的設(shè)備比以往任何時(shí)候都多。因此，密切關(guān)注每個(gè)物聯(lián)網(wǎng)設(shè)備并了解它們何時(shí)正常運(yùn)行或安全受到威脅變得越來(lái)越具有挑戰(zhàn)性。如果您還沒(méi)有這樣做，請(qǐng)考慮使用其中一些工具和技術(shù)，并將安全事件的集中記錄作為您組織的整體安全控制程序的一部分，以幫助確保潛在的惡意攻擊者不會(huì)被忽視。

事件記錄是任何設(shè)備或應(yīng)用程序的重要功能。設(shè)備記錄事件以記錄特定活動(dòng)，例如：

當(dāng)設(shè)備啟動(dòng)或關(guān)閉時(shí)

當(dāng)用戶登錄時(shí)

如果發(fā)生配置更改。

通常您可以自定義設(shè)備將記錄哪些事件。在選擇要記錄的數(shù)據(jù)量時(shí)必須了解權(quán)衡，以避免使您的網(wǎng)絡(luò)或系統(tǒng)不堪重負(fù)，同時(shí)確保您收集正確的數(shù)據(jù)以做出決策。

尋找更大拼圖的碎片

事件記錄是一項(xiàng)關(guān)鍵的安全控制。一次攻擊可能會(huì)在不同設(shè)備上觸發(fā)多個(gè)事件。安全事件響應(yīng)者必須經(jīng)常查詢來(lái)自多個(gè)設(shè)備的事件以拼湊出攻擊者的路徑。例如，通過(guò)探測(cè)網(wǎng)絡(luò)端口進(jìn)行的攻擊偵察可能會(huì)觸發(fā)防火墻上的“端口掃描”事件。一些攻擊者會(huì)嘗試提升他們?cè)谙到y(tǒng)上的權(quán)限，由此產(chǎn)生的超級(jí)用戶活動(dòng)也可能會(huì)被記錄下來(lái)。攻擊者使用竊取的憑據(jù)登錄系統(tǒng)的時(shí)間和來(lái)源可以作為身份驗(yàn)證服務(wù)日志中的登錄事件找到。防火墻、入侵檢測(cè)系統(tǒng)、應(yīng)用程序服務(wù)器和其他網(wǎng)關(guān)設(shè)備也可能包含有助于防御者的關(guān)鍵信息。可以說(shuō)，

這些事件無(wú)疑是安全調(diào)查的重要線索，精明的攻擊者都知道這一點(diǎn)。他們可能會(huì)調(diào)整自己的活動(dòng)以嘗試“低調(diào)行事”并避免觸發(fā)不必要的事件。在某些情況下，攻擊者會(huì)嘗試清除受感染設(shè)備上的日志以掩蓋他們的蹤跡。此操作有時(shí)會(huì)創(chuàng)建自己的事件——“事件日志已被清除”——您可以查找并發(fā)出警報(bào)。當(dāng)然，清除設(shè)備上的事件并不會(huì)刪除已經(jīng)轉(zhuǎn)發(fā)到集中式日志服務(wù)器的事件——這是集中日志對(duì)事件響應(yīng)和調(diào)查如此重要的最重要原因之一。

設(shè)置日志服務(wù)器

設(shè)置集中式日志并不需要很復(fù)雜。根據(jù)注冊(cè)設(shè)備的數(shù)量，您可以在短短幾個(gè)小時(shí)內(nèi)設(shè)置一個(gè)基本系統(tǒng)。一個(gè)簡(jiǎn)單的基本系統(tǒng)可能包含一個(gè) Linux 系統(tǒng)日志服務(wù)器，該服務(wù)器配置為接收從其他啟用系統(tǒng)日志的設(shè)備轉(zhuǎn)發(fā)的事件。這種情況經(jīng)常發(fā)生，因?yàn)樵S多嵌入式和物聯(lián)網(wǎng)設(shè)備運(yùn)行固件、基本 Linux 或類似 Linux 的操作系統(tǒng)，這些操作系統(tǒng)支持系統(tǒng)日志消息轉(zhuǎn)發(fā)其內(nèi)置的事件。

通常，系統(tǒng)日志服務(wù)依賴于配置文件，這些配置文件指示它們?nèi)绾谓馕鰝魅胂ⅲㄊ录┎⑵鋵懭牒?jiǎn)單文本文件（或在某些情況下直接寫入數(shù)據(jù)庫(kù)）。Syslogd是處理系統(tǒng)日志消息的原始系統(tǒng)日志服務(wù)之一。多年來(lái)，已經(jīng)開(kāi)發(fā)了增強(qiáng)的系統(tǒng)日志服務(wù)，包括syslog-ng和rsyslog，它們提供了更大的靈活性來(lái)根據(jù)傳入的系統(tǒng)日志消息的屬性解析它們。

先進(jìn)的集中記錄

如果您需要除簡(jiǎn)單的集中式日志記錄服務(wù)器之外的更多功能，您可能需要考慮使用安全信息事件管理 (SIEM) 平臺(tái)或高級(jí)日志分析平臺(tái)，通過(guò)額外的搜索、分析、關(guān)聯(lián)、可視化和報(bào)告功能擴(kuò)展集中式日志記錄。一個(gè)例子是流行的 Elastic Stack，它包括 Elasticsearch、Logstash 和 Kibana。一些平臺(tái)發(fā)布了自己的預(yù)配置 Docker 容器鏡像，這使得在您的測(cè)試環(huán)境中評(píng)估它們變得容易。

設(shè)置集中日志記錄的提示

以下是一些其他提示，可幫助您在設(shè)置集中式日志記錄服務(wù)時(shí)牢記于心。

使用網(wǎng)絡(luò)時(shí)間協(xié)議服務(wù)器將所有設(shè)備配置為同一時(shí)間。

不要忘記適當(dāng)?shù)貜?qiáng)化您的集中式日志存儲(chǔ)庫(kù)服務(wù)并定期備份它。

將這個(gè)集中式日志存儲(chǔ)庫(kù)視為您的關(guān)鍵基礎(chǔ)設(shè)施的一部分。采取適當(dāng)?shù)牟襟E來(lái)保護(hù)您的日志記錄基礎(chǔ)設(shè)施，例如限制管理訪問(wèn)、禁用不必要的服務(wù)以及安裝基于主機(jī)的防火墻。

定期掃描您的日志記錄服務(wù)以查找可能被攻擊者利用的軟件漏洞和錯(cuò)誤配置。

不要忘記花時(shí)間配置您的設(shè)備，將它們的日志轉(zhuǎn)發(fā)到您的中央日志服務(wù)器。

結(jié)論

設(shè)置集中日志記錄是您的安全程序的重要組成部分，它將在您最需要的時(shí)候提供關(guān)鍵信息。即使是使用基本日志服務(wù)器從其主機(jī)和物聯(lián)網(wǎng)設(shè)備收集事件的小型環(huán)境也將從此類服務(wù)提供的可見(jiàn)性中受益。

關(guān)鍵點(diǎn)：

集中式日志記錄服務(wù)提供了跨各種設(shè)備和主機(jī)的事件日志的重要整合點(diǎn)

針對(duì)單個(gè)數(shù)據(jù)存儲(chǔ)庫(kù)運(yùn)行查詢比登錄到每個(gè)單獨(dú)的設(shè)備以嘗試收集相同數(shù)據(jù)要高效得多。

許多設(shè)備支持系統(tǒng)日志消息轉(zhuǎn)發(fā)，這意味著您不需要專有解決方案。此外，還存在許多開(kāi)源選項(xiàng)。

對(duì)于更復(fù)雜的部署，請(qǐng)考慮支持?jǐn)?shù)據(jù)分析、可視化和報(bào)告的高級(jí)日志管理平臺(tái)，而不僅僅是簡(jiǎn)單的日志收集。

審核編輯：湯梓紅