日志记录和监控
时间:2023年5月6日 星期六
作者:小王
日志记录(Logging)和监控(Monitoring)程序可以帮助组织预防事故,在事故发生时提供有效的响应,并能够形成一个全面的问责体系。
一、日志记录技术
日志记录是将事件相关信息记录到日志文件或数据库的过程。
1.常见日志类型
安全日志:记录对文件、文件夹、打印机等资源的访问信息。
系统日志:记录系统事件,如系统开机和关机时间、服务的启动和停止时间等。
应用日志:记录应用程序的活动信息,如数据库的访问信息。
防火墙日志:记录通过防火墙的流量信息,如哪些流量被拦截。
代理日志:记录通过代理的网络访问信息。
变更日志:记录系统的变更请求、批准和实际变更。
2.保护日志数据
• 将日志拷贝到一个中央系统进行存储,如安全信息和事件管理(SIEM)系统。
• 限制日志文件的访问权限。
• 备份日志文件满足合格要求即可,过多存储备份日志文件会造成资源浪费。
二、监控的作用
1.审计跟踪(Audit Trails)
当有关事件和发生情况的信息被存储到一个或多个数据库或日志文件时创建的记录,将日志关联起来反映用户活动,用于证明或反驳罪责。
2.监控和问责(Monitoring and Accountability)
监控可确保主体对自己的动作和活动负责,促使用户约束自己的行为和遵守组织的安全策略。
3.监控和调查(Monitoring and Investigations)
审计跟踪可用于调查安全事故的前因后果,但需要确保组织内有NTP服务器确保时钟同步。
4.监控和问题识别(Monitoring and Problem Identification)
审计跟踪可用于识别系统故障、操作系统错误以及软件错误,如系统崩溃的原因会被记录。
三、监控技术
监控时检查日志信息以找出特定内容的过程,支持人工和自动化方式,是一个持续化的过程。
1.安全信息和事件管理(SIEM)
SIEM用于采集组织内的日志信息,利用关联分析引擎将日志串联起来形成攻击链,报警的准确度高。
2.Syslog
用于发送事件通知消息的系统日志协议,默认使用UDP 514端口,Window系统需要额外组件支持。
3.抽样(Sampling)
抽样也被称为数据提取(data extraction),简单理解就是有1000个事件,不认为太多不想全部审查,那么久抽其中10个看一看,10个结果代表这1000个事件的结果。
4.裁剪级别(Clipping Levels)
名字比较怪异,其实也就是日常说的阈值,如当用户输入错误密码的事件在1分钟内出现了5次以上,才会被系统判定为异常进行报警。
5.其他监控工具
• 视频监控系统(CCTV):用于事后审计,或实时检测(废眼睛)。
• 击键监控(Keystroke Monitoring):与用于攻击的键盘记录器功能一样,组织使用的话就是用于监测异常活动,会涉及隐私问题需提前告知。
• 通信流量分析和趋势分析(Traffic Analysis and Trend Analysis):用于对流量趋势进行分析以检测异常活动,如用户使用终端工作,其流量大小不会超过1Mbps,突然某个用户的流量飙升到100Mbps,就值得怀疑。
四、日志管理
指用于收集、处理和保护日志条目的所有方法。主要提了几个日志处理的方法:
1.滚动日志(rollover logging):通过设置条件来清理掉老旧日志以保存新日志,如日志存储空间到达95%,系统自动删除25%的老旧日志。
2.归档日志(archive logs):日志达到最大大小后,系统将日志另存并启动新日志,易造成系统磁盘空间爆掉。
3.日志转存:归档的基础上,利用脚本或其他机制将归档文件直接发送到另一台服务器,一般是日志管理系统。(推荐)
五、出口监控
出口监控指的是监控离开内网到互联网的流量,主要是检测未授权将数据发送到互联网,即数据泄露。
1.隐写术(Steganography):攻击者将信息嵌入其他文件(如图片、音视频等),可在边界处使用哈希算法校验文件完整性来判断是否嵌入消息。
2.电子水印(Digital Watermark):用于在数字文件中秘密地嵌入标记,常用于版权管理。
3.数据防泄漏(DLP):可以检测电子水印来执行过滤动作,与其他安全设备一样,无法检测加密文件和加密流量。