有志于對信息系統所產生的大量數據加以分析的企業必須檢查用戶訪問、配置變更以及其它日志事件。

無論是為了提升性能、收集商業情報還是檢測安全威脅，日志管理工作都應被劃分為以下三個步驟：收集日志、存儲數據并通過分析將數據轉化為可識別模式。

然而，作為安全網絡協會提出的二十大關鍵性安全控制機制之一，日志數據收集與分析并沒有得到大多數企業的重視及嚴格執行。除非法律或者法規做出明確規定，否則企業管理者根本不關心技術人員有沒有定期收集并分析日志內容。IT管理及監控軟件企業SolarWinds公司產品經理Nicole Pauls表示，面對如此規模的數據總量，信息技術專家很可能搞不清該從哪里入手。

“當人們接觸日志管理工作時，往往會被立刻淹沒在大量數據的海洋當中，”她表示。“大家希望努力找到其中的異常、固有模式或者某些蛛絲馬跡，但這真的非常困難。”

戴爾安全事務反威脅部門主管Ben Feinstein指出，優秀的安全日志分析方案需要包含四大原則。首先，企業需要監控正確的日志對象，例如防火墻、虛擬專有網絡(簡稱VPN)設備、網絡代理以及DNS服務器。其次，安全團隊必須收集那些在企業網絡中看似“尋常”的數據。第三，分析人士必須能夠從日志文件中識別出攻擊活動指標。最后，安全團隊必須制定執行流程，用于響應通過日志分析識別到的事件。

“如果安全團隊無法從監控系統中正確找到負面或者可疑活動，單純將全部日志推向SIEM(即安全信息與事件管理)系統對于安全工作其實毫無用處，”Feinstein解釋稱。

根據安全專家的建議，企業應該著重檢查五種事件類型。

1. 異常用戶訪問

Windows安全日志以及Active Directory域控制器記錄是發現網絡惡意活動的良好起點。根據惠普Arcsight產品營銷經理Kathy Lam的說法，權限、來自未知位置的遠程用戶登錄以及利用一套系統訪問其它內容的行為都是惡意活動的顯著特征。

“在觀察惡意攻擊類型以及黑客進入業務環境的過程中，我們發現惡意人士往往會在數月甚至超過一年的漫長周期中始終冒充普通用戶，”她指出。“通過整理網絡活動基準并將當前活動與之相比較，安全人士能夠切實發現攻擊活動。”

在安全工作當中，最重要的保護群體要數那些特權賬戶——這部分用戶在各類網絡系統中擁有管理員級別的權限。由于這些賬戶有能力對網絡進行深層變更，因此大家需要打起十二分精神對其加以監控。

2. 與威脅指標相匹配的模式

企業還應當將日志中的數據與其它各類來源信息加以比較，包括建立黑名單或者更具完整性的威脅情報服務，SecureWorks公司 的Feistein建議道。

威脅指標能夠幫助企業識別可疑IP地址、主機名、域名以及來自防火墻、DNS服務器或者網絡代理日志的惡意軟件簽名。

“網絡代理日志對于網絡流量而言是一種強大的觀察立足點，它會對網絡體系加以遍歷、了解終端系統如何與外部網絡相對接，”他表示。

3. “窗口”以外的配置變化

獲得了系統訪問權限的攻擊者通常會嘗試進一步改變配置以實施惡意活動，并為自己在網絡中構建更為堅實的立足點。

由于大多數企業都為配置變更設定了限制時間，例如每周、每月或者每季度一次，因此由惡意人士執行的配置變更——例如放開系統控制機制或者關閉日志記錄——應該引起我們的警覺。這類跡象說明攻擊活動正在進行，SolarWinds公司副總裁Sanjay Castelino解釋道。

“這些變更通常只應該發生在一個很小的‘窗口’當中，一旦此類配置變更出現在窗口之外，就說明異常情況已經發生，”他補充稱。

在某些情況下，分析機制能夠提供幫助。一般來說，安全管理產品所制定的規則相當復雜，我們很難通過簡單分析判斷這些規則是否屬于惡意活動，Castelino指出。相反，安全團隊則能夠以維護窗口為界線輕松識別惡意變更。

4. 奇怪的數據庫事件

由于數據庫是企業基礎設施當中的重要組成部分，因此企業應當通過嚴格監視數據庫事件來檢測惡意活動。舉例來說，我們需要對嘗試選擇并復制大量數據內容的查詢請求加以密切關注。

此外，僅僅監控數據庫的通信活動還遠遠不夠。雖然日志事件會給數據庫性能造成一定影響，但掌握全部事件的詳細記錄對于成功預防數據泄露事故而言至關重要，安全管理企業Solutionary公司工程研究團隊研究主管Rob Kraus指出。

“當客戶要求我們出示證據，證明哪些記錄曾經接受訪問而哪些記錄不允許接受訪問時，數據庫事件的詳細日志的價值將得到充分體現，”他表示。“如果這些事件沒有經過日志記錄，會給企業造成很大麻煩。總而言之，除非明確記錄下所有數據庫事件，否則我們很難證明哪些記錄曾被訪問過。”

5. 新的設備-用戶組合

在移動設備與自帶設備趨勢興起之前，企業可以將任何新接入網絡環境的設備默認視為可疑活動。然而時至今日，我們已經不能再將此作為衡量指標，SolarWinds公司的Castelino表示。

相反，企業應當將設備與用戶相匹配，并將這種變更視為常規事件，他指出。

“大家可能仍然需要對設備進行標記，但應該將設備與用戶結合起來進行整體標記，”他解釋道。“因為如果我把自己的平板帶入業務環境，其他同事不應該通過它登錄業務體系。”

原文鏈接：http://www.darkreading.com/monitoring/5-signs-of-trouble-in-your-network/240160980