高效IT运维人员的八大日志管理习惯

- 2018-11-13 -

日志数据如蕴含黄金的矿厂,因此需要对所有安全威胁提供强大的洞察力和安全情报---- 但这仅仅是在日志数据实时监控和分析时有效,高效的日志数据管理可以帮助IT运维人员减少复杂的网络攻击,识别安全事件的根本原因、监控用户活动、防止数据泄露,以及最重要的一点,满足常规安全性要求。下面介绍高效的IT日志管理数据时应采用的八种习惯。

习惯之一 使用自动化的用户日志管理工具

分析日志数据是IT运维人员面临的最大挑战之一。手动监控和分析日志数据是绝不可能的,因为日志数据值非常巨大,这个过程很容易发生人为错误。因此,IT运维人员需要依靠自动化日志管理解决方案,如赢领E日志分析系统,分析由网络基础架构产生的巨大数量的日志数据。使用自动化日志管理解决方案,当应用、系统和设备发生异常情况,IT运维人员可以实时收到通知。仅仅几秒,自动日志管理工具可以对用户行为、网络异常、系统宕机、违反政策、内部威胁等提供强大的参考。

习惯之二 集中收集日志数据

从异构数据源收集日志数据--- Windows,Unix,Linux及其他系统;应用程序、数据库、路由器、交换机、防火墙等;对于IT运维人员来说,对日志管理的安全防护是一项艰巨的任务。使用多种日志管理工具收集和分析来自数量众多的设备、系统和应用程序不同格式的日志,这可不是一家公司高效管理日志的方法。IT运维人员需要配置单个日志管理工具,帮助他们解读从多种来源获取的任何日志格式。  

习惯之三 保持审计状态-准备就绪的安全报表

每个企业都需要遵守他们内部安全政策或外部监管机构政策,如PCI DSS、SOX、FISMA、ISO27001和HIPAA。当涉及到外部审计时,IT运维人员必须集中精力满足外部机构制定的需求,并确保合规审计人员以最小的工作量完成他们的工作。 

习惯之四 执行日志取证调查

所有网络问题在日志数据中都可以找到答案。所有的攻击者都会留下痕迹,而日志数据是唯一能帮助你识别出现漏洞的原因,甚至告诉你是谁发起了攻击。此外,日志数据取证分析报表可以用作法庭证据。手动搜索日志来查找网络问题的根本原因,或者在事件中发现规律,就像大海捞针一般。如果有了正确的日志取证策略和工具,他们就能得到所有问题的答案。日志搜索功能可以让IT运维人员在整个网络基础架构中进行搜索。

习惯之五 主动应对安全威胁

为了解除复杂的网络攻击,IT运维人员必须对网络基础架构的日志数据进行实时关联。日志数据关联功能可以让IT日志管理运维人员在多个日志源同时处理数百万个事件,以增强网络安全性,在攻击或破坏发生之前,主动检测网络上的异常事件。实时事件关联性主动应对威胁。为了防止安全威胁,IT运维人员依靠日志相关工具来加速对网络事件的监控和分析。日志数据相关性自动检测并提供关于漏洞、网络用户活动、策略违规、网络异常、系统停机时间和网络安全威胁的实时告警。

习惯之六 跟踪用户活动

当您最信任的员工和用户有权限访问业务关键的应用程序、设备、系统和文件时,会有意无意地引发盗取数据、中断或系统崩溃。IT运维人员,必须通过监视日志数据实时跟踪整个IT基础架构中的所有用户活动。日志数据包含关键网络资源上发生的所有活动完整的审计跟踪。IT运维人员需要利用日志数据审计跟踪来获得所有用户的实时活动。

习惯之七 数据归档和保证日志数据安全

日志归档是所有企业满足合规性要求所必须完成的任务。日志归档依赖于企业所需遵守的政策和合规性法则。日志归档周期根据合规性审计的不同而有所不同。例如,PCI DSS 要求存档一年,HIPAA要求存档七年,而FISMA要求存档三年。日志归档的另一个原因是日志取证调查,如习惯之四中所述。归档日志数据必须保护其不受更改,以保证其真实性。

习惯之八 持续监控和回顾日志数据

IT运维人员应该将监控和回复日志数据作为常规工作。所有上述的七个习惯都是为了实现第八个习惯。日志管理不是保护网络的一次性工作。为了让您远离网络威胁,它应该是一个持续的过程,在这个过程中,日志数据必须进行实时收集、监控和分析。

大多数企业都由众多的系统、设备和应用程序组成,每个系统生成的日志数据对于检测异常行为、威胁、漏洞、安全事件、政策违规、用户活动等等都是至关重要的。利用日志数据, IT运维人员通过主动地网络威胁防御措施,可以大大地提升企业的整体安全态势。 IT日志管理人员应该将所有八个日志管理习惯付诸实践,这样他们就可以从日志数据中获取有意义的、可操作的信息和安全情报。