保护企业核心数据功能——日志审计

德迅云安全李恒
152 阅读13分钟

  网络安全和数据安全是数字经济时代最重要的安全支撑,融合大数据、云计算和物联网等新技术在内的数字经济早已上升至保障国家发展,服务国际民生的核心战略。

  日志一直是网络安全环境的重要参与者,无论组织在哪个行业运营,团队和运营都依赖信息技术来提高生产力。频频发生的网络安全事件,威胁着企业网络安全与数据安全。如何有效地监控和分析网络日志,及时发现异常行为并做出应对是每个企业必须面对的问题。

9b5184bc0c4dfb80a23787dfb9c14af4_500fd9f9d72a60597692e2371349b89f023bba9a_token=6f7937c5ea2d28205503794f89c8b96e&s=D08FC0B6C0074CEF0D8AA9CB0300A09E.jpeg

什么是日志审计?

  日志,可以详细地描述和记录某种行为或某种状态,其丰富的内容信息和时间信息能够帮助企业进行事件分析,历史复盘,内容取证,同时从法律角度来讲,日志也是重要的电子证据,准确的日志记录和审计,能够帮助用户有效地减少信息破坏,信息泄漏,可以帮助和保障用户的数据信息安全。

  通过日志审计系统,企业管理员随时了解整个IT系统的运行情况,及时发现系统异常事件;另一方面,通过事后分析和丰富的报表系统,管理员可以方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障,日志审计系统可以帮助管理员进行故障快速定位,并提供客观依据进行追查和恢复。

一、为什么需要日志审计?

根据《网络安全法》第二十一条第三小节中明确规定了“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月", 日志审计支持自定义数据保存180天,甚至数据可以永久保存,并且日志数据可以被溯源,无法进行篡改。如果不对要求的相关日志不做留存6个月以上,一旦追查,将面临法律责任。

二、日志审计系统的基本组成有哪些?

对于一个日志审计系统,从功能组成上至少应该包括信息采集、信息分析、信息存储、信息展示四个基本功能:

(1)日志采集功能: 系统能够通过某种技术手段获取需要审计的日志信息。对于该功能,关键在于采集信息的手段种类、采集信息的范围、采集信息的粒度。

(2) 日志分析功能: 是指对于采集上来的信息进行分析、审计。这是日志审计系统的核心,审计效果好坏直接由此体现出来。在实现信息分析的技术上,简单的技术可以是基于数据库的信息查询和比较;复杂的技术则包括实时关联分析引擎技术,采用基于规则的审计、基于统计的审计、基于时序的审计,以及基于人工智能的审计算法,等等。

(3) 日志存储功能: 对于采集到原始信息,以及审计后的信息都要进行保存,备查,并可以作为取证的依据。在该功能的实现上,关键点包括海量信息存储技术、以及审计信息安全保护技术。

(4)信息展示功能: 包括审计结果展示界面、统计分析报表功能、告警响应功能、设备联动功能,等等。这部分功能是审计效果的最直接体现,审计结果的可视化能力和告警响应的方式、手段都是该功能的关键。

  日志集中收集审计就是将各类设备中的安全事件(如网络攻击、病毒防护等)、用户访问记录、 系统运行状态、网络存取日志等各类信息,经过标准化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理。通过简洁的展示界面,即可实时动态了解当前整个系统的安全态势,获知异常安全事件和审计违规情况。

  通过对各类日志进行集中收集与分析,工作人员可以随时了解整个系统的运行情况,及时发现系统异常事件及非法行为;通过分析,工作人员可以方便高效地对信息系统进行针对性的安全审计。遇到特殊安全事件和系统故障,日志集中收集审计可以确保日志完整性和可用性,协助管理员进行问题的快速定位,并提供客观依据进行追查和恢复。

  因此,对各类设备的日志进行集中收集审计可以帮助我们在发生安全事件时快速准确的定位问题,有效降低系统因安全事件或系统故障带来的损失,同时也降低运维成本和管理的复杂度,显著提高系统整体的安全性、可靠性和运行效率,保证信息系统7X24小时的正常、持续、稳定运行,从而降低信息系统的整体安全风险。

image.png

日志审计面临的安全挑战和必要功能

  在当今快速发展的技术环境中,信息安全已经成为各个组织所面临的一项重要挑战。随着源源不断的数据产生,保护数据的安全和备份数据文件变得尤为重要。日志审计是至关重要的一环,作为一种有效的安全策略,它可以对信息系统中的日志记录进行收集、分析、存储以及报告,通过还可以增强整体的安全防御能力,保护数据安全。

日志审计所面临的挑战

1.日志存储分散,难以集中审计

  • 在企业网络中,各种网络设备、安全设备和应用系统部署在网络的不同位置,不同设备的日志分散存储在设备自身,难以集中留存及审计,无法高效的开展日志审计及安全事件追溯工作。

2.日志格式迥异,难以解读审计

  • 不同厂商、不同设备类型产生的日志格式不同,不同设备日志数据的预处理、解析和分析难度较高,用户难以快速发现和及时解决日志记录中潜在的安全风险。

3.多来源日志无法关联分析

  • 不同设备的日志中会存在网络攻击及渗透的痕迹,如路由器、交换机、防火墙、入侵检测、主机安全产品等,针对这些设备日志数据的采集汇总,如无关联分析机制,将难以从攻击杀伤链视角检测、发现攻击渗透行为。

4.日志数据量庞大,管理困难

  • 现场设备种类繁多、日志数量庞大,缺乏日志分类归并、搜索过滤机制时,用户难以快速筛选特定类型的日志信息,遭遇网络安全事件时,难以快速定位和响应安全威胁,同时用户将无法有效管理和使用日志数据,也难以通过日志数据发现网络中的潜在风险。

image.png

日志审计在维护信息安全、满足合规要求、辅助事故调查、优化系统性能、分析用户行为、促进持续改进以及提高客户信任等方面扮演着不可或缺的角色。实施日志审计需要综合考虑技术、管理和人员等多方面因素,通过精心规划和执行,企业可以最大化日志审计的价值,从而保护自身免受数字时代风险的侵袭。

01满足法律合规要求

  • 合规要求: 许多行业都规定了合规性要求,要求组织必须保留审计日志6个月及以上才能满足法规和监管要求。日志审计有助于组织满足这些要求,减少因违规造成的法律风险。

  • 数据保护:可同步备份源日志到审计设备中,防止原服务器日志被不法访问和篡改,也可以快速查询和定位,符合数据保护法规的要求。

  • 电子证据:在法律诉讼或合规审查中,日志文件可以作为电子证据,证明系统的操作和使用情况。

02满足高效运维要求

  • 集中管控:日志审计通过集中管控,能够统一收集、存储和分析来自不同系统和设备的日志数据,从而实现对系统数据的高效运维管理,确保系统的稳定性和可靠性。

  • 关联分析:够从大量分散的日志数据中识别出相互关系,为系统故障排除和性能优化提供有力的数据支撑,进一步提升了IT运维的智能化和自动化水平。

  • 事前智能预警:能够通过实时分析日志数据,预测并提前通知潜在的系统故障或性能下降趋势,从而使得运维团队能够采取预防措施,避免系统中断,确保业务连续性和系统的高可用性。

  • 事后快速定位故障:在发生安全事故时,日志数据对于调查事故原因和确定受影响范围至关重要。日志审计提供了详细的操作和错误信息,可以帮助组织快速快速定位问题源头,缩短故障恢复时间,并采取适当的补救措施。

03满足系统安全管理需求

  • 检测和预防安全威胁:志审计可以帮助组织实时监控和分析系统活动,以便快速检测和应对安全威胁,通过分析日志数据,可以识别异常行为、攻击模式和潜在漏洞。

  • 用户访问控制:志审计可以提供用户对系统资源的访问记录,从而帮助组织确保只有授权用户才能访问敏感信息。

  • 用户行为监控:通过日志审计,可以监控用户行为,确保他们遵守公司政策和行业规定,防止内部人员的不当行为。

(日志审计)德迅云安全

  对网络日志、安全日志、主机日志和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件;为运维提供全局的视角,一站式提供数据收集、清洗、分析、可视化和告警功能。

核心功能

8e048d68236a199eab03c11485538d4f_M4Jq6x1pf8DJNimgz030wcAAAAASUVORK5CYII=.png 日志采集

  • 全面支持Syslog、SNMP等日志协议,可以覆盖主流安全设备、主机及应用,保障日志信息的全面收集

日志解析

  • 可接收主机、安全设备、应用及数据库的日志,并通过预置的解析规则实现日志的解析、过滤及聚合

关联分析

  • 支持全维度、跨设备、细粒度的关联分析,内置众多的关联规则,支持网络安全攻防检测、合规性检测,客户可轻松实现各资产间的关联分析

数据检索

  • 通过各种事件的归一化处理,实现高性能的海量事件存储和检索优化功能,提供高速的事件检索能力、事后的合规性统计分析处理,可对数据进行二次

      

价值优势

日志取证分析

  • 深入分析原始日志事件,快速定位问题的根本原因;生成取证报表,例如攻击威胁报表、Windows/Linux系统审计报表以及合规性审计报表等

创新的日志解析能力

  • 解析规则激活,仅当接收到对应的日志后,规则才会被激活,同时支持未识别日志水印处理,采用多级解析功能和动态规划算法,实现灵活的未解析日志事件处理,同时支持多种解析方法(如正则表达式、分隔符、MIB信息映射配置等);日志解析性能与接入的日志设备数量无关

监管合规

  • 提供Windows审计、Linux审计、PCI、SOX、ISO27001等合规性报表;支持创建自定义合规性报表

先进的数据挖掘能力

  • 采取无训练集合的自动购物篮分析算法,从T级别历史日志数据中有效发现行为规律

        

应用场景

  提供全维度、跨设备、细粒度的日志关联分析,透过事件的表象真实地还原事件背后的信息,为用户提供真正可信赖的事件追责依据和业务运行的深度安全监控,协助用户全面审计信息系统整体安全状况

日志取证分析: 深入分析原始日志事件,快速定位问题的根本原因;生成取证报表,例如攻击威胁报表、Windows/Linux系统审计报表以及合规性审计报表等

创新的日志解析能力 解析规则激活,仅当接收到对应的日志后,规则才会被激活,同时支持未识别日志水印处理,采用多级解析功能和动态规划算法,实现灵活的未解析日志事件处理,同时支持多种解析方法(如正则表达式、分隔符、MIB信息映射配置等);日志解析性能与接入的日志设备数量无关

监管合规: 提供Windows审计、Linux审计、PCI、SOX、ISO27001等合规性报表;支持创建自定义合规性报表

先进的数据挖掘能力: 采取无训练集合的自动购物篮分析算法,从T级别历史日志数据中有效发现行为规律

image.png

总结

  随着企业设备的逐步增多以及内外部的合规和建设要求,企业日志审计能力建设成为必须。由于不同设备的安全日志分散且不统一,运维人员需要付出大量的时间与精力投入到日志采集与分析中,加重了运维人员的工作负担,因此企业需要提高日志审计效率,把安全问题完全扼杀在摇篮中。

avatar
文章
阅读
粉丝