安全信息和事件管理（SIEM）解決方案通過監(jiān)控來自網(wǎng)絡(luò)的不同類型的數(shù)據(jù)來確保組織網(wǎng)絡(luò)的健康安全狀況，日志數(shù)據(jù)記錄設(shè)備上發(fā)生的每個(gè)活動(dòng)以及整個(gè)網(wǎng)絡(luò)中的應(yīng)用程序，若要評(píng)估網(wǎng)絡(luò)的安全狀況，SIEM 解決方案必須收集和分析不同類型的日志數(shù)據(jù)。

什么是日志分析

日志分析是調(diào)查收集的日志以識(shí)別模式和異常行為、在從各種源收集的日志之間建立關(guān)系并在檢測(cè)到威脅時(shí)生成警報(bào)的過程?？梢允褂貌煌募夹g(shù)（包括日志關(guān)聯(lián)、取證分析和威脅情報(bào)）執(zhí)行日志分析，以識(shí)別惡意活動(dòng)。它在深入了解網(wǎng)絡(luò)活動(dòng)方面也起著重要作用。

日志分析為什么重要

如果沒有適當(dāng)?shù)姆治黾夹g(shù)，可能很難識(shí)別網(wǎng)絡(luò)中的惡意活動(dòng)。由于日志包含有關(guān)網(wǎng)絡(luò)中發(fā)生的每個(gè)活動(dòng)的信息，因此分析這些日志以：

• 防止數(shù)據(jù)泄露。
• 監(jiān)控用戶活動(dòng)并檢測(cè)異常用戶行為。
• 保護(hù)敏感數(shù)據(jù)免受攻擊。
• 盡早檢測(cè)網(wǎng)絡(luò)攻擊并緩解它們。
• 防止因泄露而導(dǎo)致數(shù)據(jù)丟失。
• 遵守 IT 法規(guī)。

日志分析是如何進(jìn)行的

• 將聚合收集的日志。聚合是從不同系統(tǒng)收集所有不同日志的過程，并且文件被收集和存儲(chǔ)在一個(gè)中心位置。
• 日志被規(guī)范化并轉(zhuǎn)換為可讀的結(jié)構(gòu)化格式。
• 然后使用預(yù)定義的規(guī)則分析和關(guān)聯(lián)規(guī)范化的日志數(shù)據(jù)，以確定從不同來源收集的日志之間的關(guān)系。生成與收集的日志的分析相對(duì)應(yīng)的報(bào)告和交互式儀表板。相關(guān)性可以指示來自不同源的日志數(shù)據(jù)是否對(duì)應(yīng)于一個(gè)事件。如果事件威脅到網(wǎng)絡(luò)安全，則會(huì)發(fā)出警報(bào)。引發(fā)警報(bào)的條件是預(yù)定義的，也可以根據(jù)組織的需求進(jìn)行自定義。
• 還可以通過應(yīng)用取證分析和威脅情報(bào)來加強(qiáng)分析。對(duì)日志數(shù)據(jù)執(zhí)行取證分析有助于識(shí)別網(wǎng)絡(luò)中的攻擊點(diǎn)。它可以指定攻擊是如何進(jìn)行的，以及網(wǎng)絡(luò)的哪個(gè)部分被破壞以獲得進(jìn)入;它還檢查整個(gè)網(wǎng)絡(luò)中的漏洞。

不同類型日志數(shù)據(jù)監(jiān)控及分析

使用 SIEM 解決方案收集和分析的不同類型的日志數(shù)據(jù)，以確保網(wǎng)絡(luò)安全。

• 外圍設(shè)備日志
• Windows 事件日志
• 端點(diǎn)日志
• 應(yīng)用程序日志
• 代理日志
• 物聯(lián)網(wǎng)日志

外圍設(shè)備日志

外圍設(shè)備監(jiān)控和調(diào)節(jié)進(jìn)出網(wǎng)絡(luò)的流量。防火墻、虛擬專用網(wǎng)絡(luò) （VPN）、入侵檢測(cè)系統(tǒng) （IDS） 和入侵防御系統(tǒng) （IPS） 是一些外圍設(shè)備。這些設(shè)備生成包含大量數(shù)據(jù)的日志，外圍設(shè)備日志對(duì)于了解網(wǎng)絡(luò)中發(fā)生的安全事件至關(guān)重要。syslog 格式的日志數(shù)據(jù)可幫助 IT 管理員執(zhí)行安全審核、解決操作問題，并更好地了解通過和傳出公司網(wǎng)絡(luò)的流量。

為什么需要監(jiān)控外圍設(shè)備的日志數(shù)據(jù)

• 檢測(cè)流向網(wǎng)絡(luò)的惡意流量：這些日志包含有關(guān)傳入流量、用戶瀏覽的網(wǎng)站的 IP 地址以及失敗的登錄嘗試的詳細(xì)信息，可幫助管理員跟蹤異常流量行為。
• 檢測(cè)安全配置錯(cuò)誤：安全配置錯(cuò)誤是防火墻違規(guī)的最重要原因，對(duì)防火墻配置進(jìn)行一些更改可能會(huì)為惡意網(wǎng)絡(luò)流量打開大門，監(jiān)控防火墻日志有助于檢測(cè)未經(jīng)授權(quán)的安全配置更改。
• 檢測(cè)攻擊：分析防火墻日志有助于檢測(cè)網(wǎng)絡(luò)活動(dòng)中的模式。例如，當(dāng)服務(wù)器在短時(shí)間內(nèi)收到大量 SYN 數(shù)據(jù)包以將客戶端連接到服務(wù)器時(shí)，這可能表示分布式拒絕服務(wù) （DDoS） 攻擊。

剖析典型的外圍設(shè)備（防火墻）日志數(shù)據(jù)

2015-07-06 11:35:26 ALLOW TCP 10.40.4.182 10.40.1.11 63064 135 0 - 0 0 0 - - - SEND

上面的日志條目指定事件的時(shí)間戳，后跟操作。在這種情況下，它指示防火墻允許流量的日期和時(shí)間，它還包含有關(guān)所用協(xié)議的信息，以及源和目標(biāo)的 IP 地址和端口號(hào)。從此類日志數(shù)據(jù)中，管理員可以檢測(cè)到連接到不使用的端口的嘗試，指示流量是惡意的。

Windows 事件日志

Windows 事件日志是 Windows 系統(tǒng)上發(fā)生的所有事情的記錄。此日志數(shù)據(jù)進(jìn)一步分為：

• Windows 應(yīng)用程序日志：這些是 Windows 操作系統(tǒng)中的應(yīng)用程序記錄的事件。例如，此應(yīng)用程序日志中記錄了強(qiáng)制應(yīng)用程序關(guān)閉的錯(cuò)誤。
• 安全日志：這些是可能影響系統(tǒng)安全的任何事件，它包括失敗的登錄嘗試和文件刪除實(shí)例。
• 系統(tǒng)日志：它包含操作系統(tǒng)記錄的事件。日志指示進(jìn)程和驅(qū)動(dòng)程序是否已成功加載。
• 目錄服務(wù)日志：它包含活動(dòng)目錄（AD）服務(wù)記錄的事件。它記錄 AD 操作，例如身份驗(yàn)證和權(quán)限修改。這些日志僅適用于域控制器。
• DNS 服務(wù)器日志：這些是來自域名系統(tǒng) （DNS） 服務(wù)器的日志，其中包含客戶端 IP 地址、查詢的域和請(qǐng)求的記錄等信息。它僅適用于 DNS 服務(wù)器。
• 文件復(fù)制服務(wù)日志：它包含域控制器復(fù)制的事件。它僅適用于域控制器。

為什么需要監(jiān)控 Windows 事件日志

• 確保服務(wù)器安全：大多數(shù)關(guān)鍵服務(wù)器（如文件服務(wù)器和 AD 域控制器）都在 Windows 平臺(tái)上運(yùn)行，監(jiān)控此日志數(shù)據(jù)以了解關(guān)鍵資源發(fā)生的情況至關(guān)重要。
• Windows 工作站安全性：事件日志提供有關(guān)工作站功能的寶貴見解，通過監(jiān)控從設(shè)備生成的 Windows 事件日志，可以監(jiān)視用戶活動(dòng)的異常行為，這可以幫助檢測(cè)攻擊在早期階段，在發(fā)生攻擊時(shí)，日志可以幫助重建用戶的活動(dòng)以進(jìn)行取證。
• 監(jiān)控硬件組件：對(duì) Windows 事件日志的分析通過指示故障原因來幫助診斷工作站硬件組件出現(xiàn)故障的問題。

剖析典型的 Windows 事件日志

Warning 4/28/2020 12:32:47 PM WLAN-AutoConfig 4003 None

Windows 根據(jù)每個(gè)事件的嚴(yán)重性對(duì)每個(gè)事件進(jìn)行分類，包括“警告”、“信息”、“嚴(yán)重”和“錯(cuò)誤”。在這種情況下，安全級(jí)別為“警告”。上面的日志條目來自 WLAN 自動(dòng)配置服務(wù)，該服務(wù)是一個(gè)連接管理實(shí)用程序，使用戶能夠動(dòng)態(tài)連接到無線局域網(wǎng) （WLAN）。下一段指示事件發(fā)生的日期和時(shí)間。日志指定 WLAN 自動(dòng)配置檢測(cè)到有限的網(wǎng)絡(luò)連接，并且正在嘗試自動(dòng)恢復(fù)。使用此日志，SIEM 解決方案可以在此日志中引用的時(shí)間戳檢查其他設(shè)備上的類似日志，以解決網(wǎng)絡(luò)連接問題。

端點(diǎn)日志

終結(jié)點(diǎn)是通過網(wǎng)絡(luò)連接并跨服務(wù)器與其他設(shè)備通信的設(shè)備。一些示例包括臺(tái)式機(jī)、筆記本電腦、智能手機(jī)和打印機(jī)。隨著組織越來越多地采用遠(yuǎn)程工作，端點(diǎn)創(chuàng)建了可能被惡意行為者利用的網(wǎng)絡(luò)入口點(diǎn)。

為什么需要監(jiān)控端點(diǎn)日志

• 監(jiān)視可移動(dòng)磁盤驅(qū)動(dòng)器上的活動(dòng)：可移動(dòng)磁盤驅(qū)動(dòng)器通常容易受到惡意軟件安裝和數(shù)據(jù)泄露嘗試的攻擊。通過監(jiān)視終結(jié)點(diǎn)日志，可以檢測(cè)到這些嘗試。
• 監(jiān)視用戶活動(dòng)：用戶必須遵守其組織的內(nèi)部和外部法規(guī)策略，這些策略與在其工作站上安裝和使用軟件有關(guān)。終結(jié)點(diǎn)日志可用于監(jiān)視這些策略，并在發(fā)生違規(guī)時(shí)提供通知。

剖析典型的終結(jié)點(diǎn)設(shè)備日志

Error 6/20/2019 5:00:45 PM Terminal Services- Printers 1111 None

上面的日志指定終端服務(wù)輕松打印驅(qū)動(dòng)程序發(fā)生錯(cuò)誤。這由錯(cuò)誤源和事件 ID （1111） 指示。如果用戶在打印文件時(shí)遇到問題，可以檢查日志以了解問題的確切原因并解決問題。

應(yīng)用程序日志

企業(yè)在各種應(yīng)用程序（如數(shù)據(jù)庫、Web 服務(wù)器應(yīng)用程序和其他內(nèi)部應(yīng)用程序）上運(yùn)行以執(zhí)行特定功能。這些應(yīng)用程序通常對(duì)于業(yè)務(wù)的有效運(yùn)作至關(guān)重要。所有這些應(yīng)用程序都會(huì)生成日志數(shù)據(jù)，以提供有關(guān)應(yīng)用程序中發(fā)生的情況的見解。

為什么需要監(jiān)視應(yīng)用程序日志

• 排查問題：這些日志有助于識(shí)別和更正與應(yīng)用程序的性能和安全性相關(guān)的問題。
• 監(jiān)視活動(dòng)：從數(shù)據(jù)庫生成的日志指示來自用戶的請(qǐng)求和查詢。這可用于檢測(cè)未經(jīng)授權(quán)的文件訪問或用戶的數(shù)據(jù)操作嘗試。日志還有助于解決數(shù)據(jù)庫中的問題。

剖析典型應(yīng)用程序日志

02-AUG-2013 17:38:48 * (CONNECT_DATA=(SERVICE_NAME=dev12c)
(CID=(PROGRAM=sqlplus)(HOST=oralinux1)(USER=oracle))) *
(ADDRESS=(PROTOCOL=tcp)(HOST=192.168.2.121)(PORT=21165))
establish * dev12c * 0

上述日志條目來自 Oracle 數(shù)據(jù)庫系統(tǒng)，該日志用于從主機(jī)進(jìn)行連接嘗試，日志引用數(shù)據(jù)庫服務(wù)器收到請(qǐng)求的時(shí)間和日期，它還指示發(fā)出請(qǐng)求的用戶和主機(jī)，以及其 IP 地址和端口號(hào)。

代理日志

代理服務(wù)器通過提供隱私、調(diào)節(jié)訪問和節(jié)省帶寬，在組織的網(wǎng)絡(luò)中發(fā)揮著重要作用。由于所有 Web 請(qǐng)求和響應(yīng)都通過代理服務(wù)器，因此代理日志可以揭示有關(guān)使用情況統(tǒng)計(jì)信息和終結(jié)點(diǎn)用戶的瀏覽行為的寶貴信息。

為什么需要監(jiān)視代理日志

• 基線用戶行為：從收集的代理日志中分析用戶的瀏覽活動(dòng)有助于形成其行為的基線。與基線的任何偏差都可能揭示數(shù)據(jù)泄露，并表明需要進(jìn)一步檢查。
• 要監(jiān)控?cái)?shù)據(jù)包的長(zhǎng)度：代理日志可以幫助監(jiān)視通過代理服務(wù)器交換的數(shù)據(jù)包的長(zhǎng)度。例如，用戶在給定的時(shí)間間隔內(nèi)重復(fù)發(fā)送或接收相同長(zhǎng)度的數(shù)據(jù)包可能指示軟件更新，或發(fā)現(xiàn)與控制服務(wù)器交換信號(hào)的惡意軟件。

剖析典型的代理日志

4/8/2020 2:20:55 PM User-001 192.168.10.10 GET https://wikipedia.com/

上面的日志指定 User-001 在日志中指示的日期和時(shí)間從 Wikipedia.com 請(qǐng)求頁面，分析日志中的請(qǐng)求、URL 和時(shí)間戳有助于檢測(cè)模式，并有助于在發(fā)生事件時(shí)恢復(fù)證據(jù)。

物聯(lián)網(wǎng)日志

物聯(lián)網(wǎng) （IoT） 是指與互聯(lián)網(wǎng)上的其他設(shè)備交換數(shù)據(jù)的物理設(shè)備網(wǎng)絡(luò)，這些設(shè)備嵌入了傳感器、處理器和軟件，以實(shí)現(xiàn)數(shù)據(jù)收集、處理和傳輸，與端點(diǎn)一樣，構(gòu)成 IoT 系統(tǒng)的設(shè)備也會(huì)生成日志。

來自 IoT 設(shè)備的日志數(shù)據(jù)可深入了解硬件組件（如微控制器）的功能、設(shè)備的固件更新要求以及進(jìn)出設(shè)備的數(shù)據(jù)流。從物聯(lián)網(wǎng)系統(tǒng)記錄數(shù)據(jù)的一個(gè)關(guān)鍵部分是日志數(shù)據(jù)的存儲(chǔ)位置。這些設(shè)備沒有足夠的內(nèi)存來存儲(chǔ)日志。因此，必須將日志轉(zhuǎn)發(fā)到集中式日志管理解決方案，在該解決方案中可以長(zhǎng)時(shí)間存儲(chǔ)日志。然后，SIEM 解決方案分析日志以排查錯(cuò)誤和檢測(cè)安全威脅。

不同的日志格式

上述所有來源的日志通常會(huì)轉(zhuǎn)發(fā)到集中式日志記錄解決方案關(guān)聯(lián)和分析數(shù)據(jù)，以提供網(wǎng)絡(luò)的安全概述。日志以不同的格式存儲(chǔ)和傳輸，例如 CSV、JSON、鍵值對(duì)和通用事件格式。

• .CSV
• JavaScript Object Notation（JSON）
• 鍵-值對(duì)(key- value pair)
• 通用事件格式

.CSV

CSV 是一種以逗號(hào)分隔格式存儲(chǔ)值的文件格式。它是一種純文本文件格式，無論使用何種軟件，都可以輕松將CSV文件導(dǎo)入存儲(chǔ)數(shù)據(jù)庫。由于 CSV 文件不是分層的或面向?qū)ο蟮?#xff0c;因此它們也更容易轉(zhuǎn)換為其他文件類型。

JSON（JavaScript Object Notation）

JavaScript Object Notation（JSON）是一種基于文本的數(shù)據(jù)存儲(chǔ)格式。它是一種結(jié)構(gòu)化格式，可以更輕松地分析存儲(chǔ)的日志。還可以查詢特定字段。這些附加功能使 JSON 成為非常可靠的日志管理格式。

鍵-值對(duì)(key- value pair)

鍵-值對(duì)由兩個(gè)元素組成：鍵和映射到它的值。鍵是一個(gè)常量，該值在不同的條目中是可變的，格式設(shè)置涉及將相似的數(shù)據(jù)集分組到一個(gè)公共鍵下，通過運(yùn)行特定鍵的查詢，可以提取該鍵下的所有數(shù)據(jù)。

通用事件格式

通用事件格式（通常稱為 CEF）是一種日志管理格式，它通過更輕松地收集和存儲(chǔ)來自不同設(shè)備和應(yīng)用程序的日志數(shù)據(jù)來促進(jìn)互操作性。它使用系統(tǒng)日志消息格式。它是使用最廣泛的日志記錄格式，受到各種供應(yīng)商和軟件平臺(tái)的支持，由 CEF 標(biāo)頭和包含鍵值對(duì)中的日志數(shù)據(jù)的 CEF 擴(kuò)展組成。

SIEM 解決方案（Log360）分析從不同來源收集的日志，關(guān)聯(lián)日志數(shù)據(jù)，并提供見解以幫助組織檢測(cè)網(wǎng)絡(luò)攻擊并從中恢復(fù)。