安全信息和事件管理（SIEM）解決方案通過監(jiān)控來自網(wǎng)絡(luò)的不同類型的數(shù)據(jù)來確保組織網(wǎng)絡(luò)的健康安全狀況，日志數(shù)據(jù)記錄設(shè)備上發(fā)生的每個活動以及整個網(wǎng)絡(luò)中的應(yīng)用程序，若要評估網(wǎng)絡(luò)的安全狀況，SIEM 解決方案必須收集和分析不同類型的日志數(shù)據(jù)。

什么是日志分析

日志分析是調(diào)查收集的日志以識別模式和異常行為、在從各種源收集的日志之間建立關(guān)系并在檢測到威脅時生成警報的過程?？梢允褂貌煌募夹g(shù)（包括日志關(guān)聯(lián)、取證分析和威脅情報）執(zhí)行日志分析，以識別惡意活動。它在深入了解網(wǎng)絡(luò)活動方面也起著重要作用。

日志分析為什么重要

如果沒有適當(dāng)?shù)姆治黾夹g(shù)，可能很難識別網(wǎng)絡(luò)中的惡意活動。由于日志包含有關(guān)網(wǎng)絡(luò)中發(fā)生的每個活動的信息，因此分析這些日志以：

• 防止數(shù)據(jù)泄露。
• 監(jiān)控用戶活動并檢測異常用戶行為。
• 保護敏感數(shù)據(jù)免受攻擊。
• 盡早檢測網(wǎng)絡(luò)攻擊并緩解它們。
• 防止因泄露而導(dǎo)致數(shù)據(jù)丟失。
• 遵守 IT 法規(guī)。

日志分析是如何進行的

• 將聚合收集的日志。聚合是從不同系統(tǒng)收集所有不同日志的過程，并且文件被收集和存儲在一個中心位置。
• 日志被規(guī)范化并轉(zhuǎn)換為可讀的結(jié)構(gòu)化格式。
• 然后使用預(yù)定義的規(guī)則分析和關(guān)聯(lián)規(guī)范化的日志數(shù)據(jù)，以確定從不同來源收集的日志之間的關(guān)系。生成與收集的日志的分析相對應(yīng)的報告和交互式儀表板。相關(guān)性可以指示來自不同源的日志數(shù)據(jù)是否對應(yīng)于一個事件。如果事件威脅到網(wǎng)絡(luò)安全，則會發(fā)出警報。引發(fā)警報的條件是預(yù)定義的，也可以根據(jù)組織的需求進行自定義。
• 還可以通過應(yīng)用取證分析和威脅情報來加強分析。對日志數(shù)據(jù)執(zhí)行取證分析有助于識別網(wǎng)絡(luò)中的攻擊點。它可以指定攻擊是如何進行的，以及網(wǎng)絡(luò)的哪個部分被破壞以獲得進入;它還檢查整個網(wǎng)絡(luò)中的漏洞。

不同類型日志數(shù)據(jù)監(jiān)控及分析

使用 SIEM 解決方案收集和分析的不同類型的日志數(shù)據(jù)，以確保網(wǎng)絡(luò)安全。

• 外圍設(shè)備日志
• Windows 事件日志
• 端點日志
• 應(yīng)用程序日志
• 代理日志
• 物聯(lián)網(wǎng)日志

外圍設(shè)備日志

外圍設(shè)備監(jiān)控和調(diào)節(jié)進出網(wǎng)絡(luò)的流量。防火墻、虛擬專用網(wǎng)絡(luò) （VPN）、入侵檢測系統(tǒng) （IDS） 和入侵防御系統(tǒng) （IPS） 是一些外圍設(shè)備。這些設(shè)備生成包含大量數(shù)據(jù)的日志，外圍設(shè)備日志對于了解網(wǎng)絡(luò)中發(fā)生的安全事件至關(guān)重要。syslog 格式的日志數(shù)據(jù)可幫助 IT 管理員執(zhí)行安全審核、解決操作問題，并更好地了解通過和傳出公司網(wǎng)絡(luò)的流量。

為什么需要監(jiān)控外圍設(shè)備的日志數(shù)據(jù)

• 檢測流向網(wǎng)絡(luò)的惡意流量：這些日志包含有關(guān)傳入流量、用戶瀏覽的網(wǎng)站的 IP 地址以及失敗的登錄嘗試的詳細信息，可幫助管理員跟蹤異常流量行為。
• 檢測安全配置錯誤：安全配置錯誤是防火墻違規(guī)的最重要原因，對防火墻配置進行一些更改可能會為惡意網(wǎng)絡(luò)流量打開大門，監(jiān)控防火墻日志有助于檢測未經(jīng)授權(quán)的安全配置更改。
• 檢測攻擊：分析防火墻日志有助于檢測網(wǎng)絡(luò)活動中的模式。例如，當(dāng)服務(wù)器在短時間內(nèi)收到大量 SYN 數(shù)據(jù)包以將客戶端連接到服務(wù)器時，這可能表示分布式拒絕服務(wù) （DDoS） 攻擊。

剖析典型的外圍設(shè)備（防火墻）日志數(shù)據(jù)

2015-07-06 11:35:26 ALLOW TCP 10.40.4.182 10.40.1.11 63064 135 0 - 0 0 0 - - - SEND

上面的日志條目指定事件的時間戳，后跟操作。在這種情況下，它指示防火墻允許流量的日期和時間，它還包含有關(guān)所用協(xié)議的信息，以及源和目標(biāo)的 IP 地址和端口號。從此類日志數(shù)據(jù)中，管理員可以檢測到連接到不使用的端口的嘗試，指示流量是惡意的。

Windows 事件日志

Windows 事件日志是 Windows 系統(tǒng)上發(fā)生的所有事情的記錄。此日志數(shù)據(jù)進一步分為：

• Windows 應(yīng)用程序日志：這些是 Windows 操作系統(tǒng)中的應(yīng)用程序記錄的事件。例如，此應(yīng)用程序日志中記錄了強制應(yīng)用程序關(guān)閉的錯誤。
• 安全日志：這些是可能影響系統(tǒng)安全的任何事件，它包括失敗的登錄嘗試和文件刪除實例。
• 系統(tǒng)日志：它包含操作系統(tǒng)記錄的事件。日志指示進程和驅(qū)動程序是否已成功加載。
• 目錄服務(wù)日志：它包含活動目錄（AD）服務(wù)記錄的事件。它記錄 AD 操作，例如身份驗證和權(quán)限修改。這些日志僅適用于域控制器。
• DNS 服務(wù)器日志：這些是來自域名系統(tǒng) （DNS） 服務(wù)器的日志，其中包含客戶端 IP 地址、查詢的域和請求的記錄等信息。它僅適用于 DNS 服務(wù)器。
• 文件復(fù)制服務(wù)日志：它包含域控制器復(fù)制的事件。它僅適用于域控制器。

為什么需要監(jiān)控 Windows 事件日志

• 確保服務(wù)器安全：大多數(shù)關(guān)鍵服務(wù)器（如文件服務(wù)器和 AD 域控制器）都在 Windows 平臺上運行，監(jiān)控此日志數(shù)據(jù)以了解關(guān)鍵資源發(fā)生的情況至關(guān)重要。
• Windows 工作站安全性：事件日志提供有關(guān)工作站功能的寶貴見解，通過監(jiān)控從設(shè)備生成的 Windows 事件日志，可以監(jiān)視用戶活動的異常行為，這可以幫助檢測攻擊在早期階段，在發(fā)生攻擊時，日志可以幫助重建用戶的活動以進行取證。
• 監(jiān)控硬件組件：對 Windows 事件日志的分析通過指示故障原因來幫助診斷工作站硬件組件出現(xiàn)故障的問題。

剖析典型的 Windows 事件日志

Warning 4/28/2020 12:32:47 PM WLAN-AutoConfig 4003 None

Windows 根據(jù)每個事件的嚴重性對每個事件進行分類，包括“警告”、“信息”、“嚴重”和“錯誤”。在這種情況下，安全級別為“警告”。上面的日志條目來自 WLAN 自動配置服務(wù)，該服務(wù)是一個連接管理實用程序，使用戶能夠動態(tài)連接到無線局域網(wǎng) （WLAN）。下一段指示事件發(fā)生的日期和時間。日志指定 WLAN 自動配置檢測到有限的網(wǎng)絡(luò)連接，并且正在嘗試自動恢復(fù)。使用此日志，SIEM 解決方案可以在此日志中引用的時間戳檢查其他設(shè)備上的類似日志，以解決網(wǎng)絡(luò)連接問題。

端點日志

終結(jié)點是通過網(wǎng)絡(luò)連接并跨服務(wù)器與其他設(shè)備通信的設(shè)備。一些示例包括臺式機、筆記本電腦、智能手機和打印機。隨著組織越來越多地采用遠程工作，端點創(chuàng)建了可能被惡意行為者利用的網(wǎng)絡(luò)入口點。

為什么需要監(jiān)控端點日志

• 監(jiān)視可移動磁盤驅(qū)動器上的活動：可移動磁盤驅(qū)動器通常容易受到惡意軟件安裝和數(shù)據(jù)泄露嘗試的攻擊。通過監(jiān)視終結(jié)點日志，可以檢測到這些嘗試。
• 監(jiān)視用戶活動：用戶必須遵守其組織的內(nèi)部和外部法規(guī)策略，這些策略與在其工作站上安裝和使用軟件有關(guān)。終結(jié)點日志可用于監(jiān)視這些策略，并在發(fā)生違規(guī)時提供通知。

剖析典型的終結(jié)點設(shè)備日志

Error 6/20/2019 5:00:45 PM Terminal Services- Printers 1111 None

上面的日志指定終端服務(wù)輕松打印驅(qū)動程序發(fā)生錯誤。這由錯誤源和事件 ID （1111） 指示。如果用戶在打印文件時遇到問題，可以檢查日志以了解問題的確切原因并解決問題。

應(yīng)用程序日志

企業(yè)在各種應(yīng)用程序（如數(shù)據(jù)庫、Web 服務(wù)器應(yīng)用程序和其他內(nèi)部應(yīng)用程序）上運行以執(zhí)行特定功能。這些應(yīng)用程序通常對于業(yè)務(wù)的有效運作至關(guān)重要。所有這些應(yīng)用程序都會生成日志數(shù)據(jù)，以提供有關(guān)應(yīng)用程序中發(fā)生的情況的見解。

為什么需要監(jiān)視應(yīng)用程序日志

• 排查問題：這些日志有助于識別和更正與應(yīng)用程序的性能和安全性相關(guān)的問題。
• 監(jiān)視活動：從數(shù)據(jù)庫生成的日志指示來自用戶的請求和查詢。這可用于檢測未經(jīng)授權(quán)的文件訪問或用戶的數(shù)據(jù)操作嘗試。日志還有助于解決數(shù)據(jù)庫中的問題。

剖析典型應(yīng)用程序日志

02-AUG-2013 17:38:48 * (CONNECT_DATA=(SERVICE_NAME=dev12c)
(CID=(PROGRAM=sqlplus)(HOST=oralinux1)(USER=oracle))) *
(ADDRESS=(PROTOCOL=tcp)(HOST=192.168.2.121)(PORT=21165))
establish * dev12c * 0

上述日志條目來自 Oracle 數(shù)據(jù)庫系統(tǒng)，該日志用于從主機進行連接嘗試，日志引用數(shù)據(jù)庫服務(wù)器收到請求的時間和日期，它還指示發(fā)出請求的用戶和主機，以及其 IP 地址和端口號。

代理日志

代理服務(wù)器通過提供隱私、調(diào)節(jié)訪問和節(jié)省帶寬，在組織的網(wǎng)絡(luò)中發(fā)揮著重要作用。由于所有 Web 請求和響應(yīng)都通過代理服務(wù)器，因此代理日志可以揭示有關(guān)使用情況統(tǒng)計信息和終結(jié)點用戶的瀏覽行為的寶貴信息。

為什么需要監(jiān)視代理日志

• 基線用戶行為：從收集的代理日志中分析用戶的瀏覽活動有助于形成其行為的基線。與基線的任何偏差都可能揭示數(shù)據(jù)泄露，并表明需要進一步檢查。
• 要監(jiān)控數(shù)據(jù)包的長度：代理日志可以幫助監(jiān)視通過代理服務(wù)器交換的數(shù)據(jù)包的長度。例如，用戶在給定的時間間隔內(nèi)重復(fù)發(fā)送或接收相同長度的數(shù)據(jù)包可能指示軟件更新，或發(fā)現(xiàn)與控制服務(wù)器交換信號的惡意軟件。

剖析典型的代理日志

4/8/2020 2:20:55 PM User-001 192.168.10.10 GET https://wikipedia.com/

上面的日志指定 User-001 在日志中指示的日期和時間從 Wikipedia.com 請求頁面，分析日志中的請求、URL 和時間戳有助于檢測模式，并有助于在發(fā)生事件時恢復(fù)證據(jù)。

物聯(lián)網(wǎng)日志

物聯(lián)網(wǎng) （IoT） 是指與互聯(lián)網(wǎng)上的其他設(shè)備交換數(shù)據(jù)的物理設(shè)備網(wǎng)絡(luò)，這些設(shè)備嵌入了傳感器、處理器和軟件，以實現(xiàn)數(shù)據(jù)收集、處理和傳輸，與端點一樣，構(gòu)成 IoT 系統(tǒng)的設(shè)備也會生成日志。

來自 IoT 設(shè)備的日志數(shù)據(jù)可深入了解硬件組件（如微控制器）的功能、設(shè)備的固件更新要求以及進出設(shè)備的數(shù)據(jù)流。從物聯(lián)網(wǎng)系統(tǒng)記錄數(shù)據(jù)的一個關(guān)鍵部分是日志數(shù)據(jù)的存儲位置。這些設(shè)備沒有足夠的內(nèi)存來存儲日志。因此，必須將日志轉(zhuǎn)發(fā)到集中式日志管理解決方案，在該解決方案中可以長時間存儲日志。然后，SIEM 解決方案分析日志以排查錯誤和檢測安全威脅。

不同的日志格式

上述所有來源的日志通常會轉(zhuǎn)發(fā)到集中式日志記錄解決方案關(guān)聯(lián)和分析數(shù)據(jù)，以提供網(wǎng)絡(luò)的安全概述。日志以不同的格式存儲和傳輸，例如 CSV、JSON、鍵值對和通用事件格式。

• .CSV
• JavaScript Object Notation（JSON）
• 鍵-值對(key- value pair)
• 通用事件格式

.CSV

CSV 是一種以逗號分隔格式存儲值的文件格式。它是一種純文本文件格式，無論使用何種軟件，都可以輕松將CSV文件導(dǎo)入存儲數(shù)據(jù)庫。由于 CSV 文件不是分層的或面向?qū)ο蟮?#xff0c;因此它們也更容易轉(zhuǎn)換為其他文件類型。

JSON（JavaScript Object Notation）

JavaScript Object Notation（JSON）是一種基于文本的數(shù)據(jù)存儲格式。它是一種結(jié)構(gòu)化格式，可以更輕松地分析存儲的日志。還可以查詢特定字段。這些附加功能使 JSON 成為非?？煽康娜罩竟芾砀袷健?/p>

鍵-值對(key- value pair)

鍵-值對由兩個元素組成：鍵和映射到它的值。鍵是一個常量，該值在不同的條目中是可變的，格式設(shè)置涉及將相似的數(shù)據(jù)集分組到一個公共鍵下，通過運行特定鍵的查詢，可以提取該鍵下的所有數(shù)據(jù)。

通用事件格式

通用事件格式（通常稱為 CEF）是一種日志管理格式，它通過更輕松地收集和存儲來自不同設(shè)備和應(yīng)用程序的日志數(shù)據(jù)來促進互操作性。它使用系統(tǒng)日志消息格式。它是使用最廣泛的日志記錄格式，受到各種供應(yīng)商和軟件平臺的支持，由 CEF 標(biāo)頭和包含鍵值對中的日志數(shù)據(jù)的 CEF 擴展組成。

SIEM 解決方案（Log360）分析從不同來源收集的日志，關(guān)聯(lián)日志數(shù)據(jù)，并提供見解以幫助組織檢測網(wǎng)絡(luò)攻擊并從中恢復(fù)。