|
下面分別對(duì)以下場(chǎng)景進(jìn)行說明。
- 集中收集日志
從異構(gòu)數(shù)據(jù)源收集日志數(shù)據(jù)--- Windows,Unix����,Linux及其他系統(tǒng);應(yīng)用程序��、數(shù)據(jù)庫�、路由器、交換機(jī)��、防火墻等�����;– 對(duì)于IT安全管理人員來說����,對(duì)日志管理的安全防護(hù)是一項(xiàng)艱巨的任務(wù)。任何一家企業(yè)也不會(huì)愿意使用多種日志管理工具收集和分析來自數(shù)量眾多的設(shè)備�����、系統(tǒng)和應(yīng)用程序不同格式的日志��。
ELA可以從任何來源解讀任何格式的日志并進(jìn)行集中收集管理���。使IT安全管理人員能夠全面地查看網(wǎng)絡(luò)上發(fā)生的所有活動(dòng)�����,從而及時(shí)地促進(jìn)有效的安全策略��。
- 日志取證調(diào)查
所有網(wǎng)絡(luò)問題在日志數(shù)據(jù)中都可以找到答案���。所有的***者都會(huì)留下痕跡���,而你的日志數(shù)據(jù)是唯一能幫助你識(shí)別漏洞的原因,甚至告訴你是誰發(fā)起了***��。此外���,日志數(shù)據(jù)取證分析報(bào)表可以用作法庭證據(jù)�����。手動(dòng)搜索日志來查找網(wǎng)絡(luò)問題的根本原因�����,或者在事件中發(fā)現(xiàn)規(guī)律�����,就像大海撈針一般�。
使用ELA就能得到所有問題的答案。ELA的搜索功能可以幫助管理員進(jìn)行調(diào)查�,這樣可以幫助他們快速找到和修復(fù)網(wǎng)絡(luò)問題和異常行為。日志搜索功能可以讓IT安全管理人員在整個(gè)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中進(jìn)行搜索�。
- 主動(dòng)應(yīng)對(duì)安全威脅
為了解除復(fù)雜的網(wǎng)絡(luò)***���,IT安全管理人員必須對(duì)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的日志數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)��。日志數(shù)據(jù)關(guān)聯(lián)功能可以讓IT安全管理人員在多個(gè)日志源同時(shí)處理數(shù)百萬個(gè)事件�,以增強(qiáng)網(wǎng)絡(luò)安全性��,在***或破壞發(fā)生之前����,主動(dòng)檢測(cè)網(wǎng)絡(luò)上的異常事件。實(shí)時(shí)事件關(guān)聯(lián)主動(dòng)應(yīng)對(duì)威脅�。為了防止安全威脅,IT安全管理人員依靠日志相關(guān)工具來加速對(duì)網(wǎng)絡(luò)事件的監(jiān)控和分析�����。
ELA的日志相關(guān)×××, 讓IT安全管理人員能夠快速跟蹤可疑的網(wǎng)絡(luò)行為�����。主動(dòng)檢測(cè)并提供關(guān)于漏洞、網(wǎng)絡(luò)用戶活動(dòng)��、策略違規(guī)���、網(wǎng)絡(luò)異常���、系統(tǒng)停機(jī)時(shí)間和網(wǎng)絡(luò)安全威脅的實(shí)時(shí)告警。
4.跟蹤用戶活動(dòng)
當(dāng)您最信任的員工和用戶有權(quán)限訪問業(yè)務(wù)關(guān)鍵的應(yīng)用程序����、設(shè)備、系統(tǒng)和文件時(shí)�����,會(huì)有意無意地引發(fā)盜取數(shù)據(jù)���、中斷或系統(tǒng)崩潰��。IT安全管理人員�,必須通過監(jiān)視日志數(shù)據(jù)實(shí)時(shí)跟蹤整個(gè)IT基礎(chǔ)架構(gòu)中的所有用戶活動(dòng)����。日志數(shù)據(jù)包含關(guān)鍵網(wǎng)絡(luò)資源上發(fā)生的所有活動(dòng)完整的審計(jì)跟蹤�。
ELA可以讓IT安全管理人員掌握所有用戶的實(shí)時(shí)活動(dòng)�����,找到關(guān)于“誰��、什么���、哪里和如何”的答案。
5.數(shù)據(jù)歸檔和保證日志數(shù)據(jù)安全
日志歸檔是所有企業(yè)滿足合規(guī)性要求所必須完成的任務(wù)�。日志歸檔依賴于企業(yè)所需遵守的政策和合規(guī)性法則。日志歸檔周期根據(jù)合規(guī)性審計(jì)的不同而有所不同����。例如,PCI DSS 要求存檔一年��,HIPAA 要求存檔七年�����,而FISMA要求存檔三年�����。日志歸檔的另一個(gè)原因是日志取證調(diào)查,如習(xí)慣之4中所述�。
ELA可以確保您的歸檔日志數(shù)據(jù)不被更改,以保證其真實(shí)性��。能夠?qū)θ罩緮?shù)據(jù)進(jìn)行加密�,并通過哈希算法和時(shí)間戳防止日志被篡改,以便將來進(jìn)行取證分析�,合規(guī)性或內(nèi)部審計(jì)。
- 滿足合規(guī)性的要求
薩班斯法案是一部涉及會(huì)計(jì)職業(yè)監(jiān)管�、公司治理、證券市場(chǎng)監(jiān)管等方面改革的重要法律�����。由于該法案在頒布時(shí)沒有提出具體的適用豁免條件��,這就意味著目前所有在美國(guó)上市的公司���,包括在美國(guó)注冊(cè)的上市公司和在外國(guó)注冊(cè)而于美國(guó)上市的公司���,都必須遵守該法案。因此,那些準(zhǔn)備赴美上市的公司�,符合薩班斯法案的合規(guī)性要求�,是其不可缺少的條件之一����。
薩班斯法案的重要條款:302和404條款��,盡管直接規(guī)定的都是企業(yè)管理層對(duì)財(cái)務(wù)內(nèi)控方面的要求����,但是����,由于在當(dāng)前環(huán)境下,IT系統(tǒng)驅(qū)動(dòng)著財(cái)務(wù)報(bào)告流程����。諸如ERP之類的IT系統(tǒng)緊密地貫穿于企業(yè)經(jīng)濟(jì)業(yè)務(wù)的開始���、授權(quán)�����、記錄�����、處理和報(bào)告一整套過程中。IT系統(tǒng)和整個(gè)財(cái)務(wù)報(bào)告流程已是密不可分的整體���,因此��,為了遵循薩班斯法案,也要對(duì)IT內(nèi)部控制的有效性予以評(píng)估�����。
ELA通過收集所有服務(wù)器、Syslog設(shè)備���、關(guān)鍵應(yīng)用的日志,可以偵測(cè)未授權(quán)訪問嘗試���、策略違反情況、鑒別用戶�����、服務(wù)器等的活動(dòng)趨勢(shì)�����、識(shí)別網(wǎng)絡(luò)中可能存在的風(fēng)險(xiǎn)��。它在實(shí)時(shí)關(guān)聯(lián)分析所收集的日志的基礎(chǔ)上,為您提供多種有用的報(bào)表�����,可滿足企業(yè)合規(guī)性方面的要求。
具體而言:
用戶登錄報(bào)表:滿足薩班斯法案的302(a)(4)(C) (D) 登錄及退出監(jiān)視的要求���。
用戶退出報(bào)表:滿足薩班斯法案的302(a)(4)(C) (D) 登錄及退出監(jiān)視的要求。
登錄失敗報(bào)表:滿足薩班斯法案要求記錄未成功登錄信息的要求�。
對(duì)象訪問報(bào)表:可以鑒別哪些對(duì)象(文件����、目錄)被訪問�����、訪問類型(讀��、寫、刪除)����、是否訪問成功、及誰執(zhí)行了該動(dòng)作����。
系統(tǒng)事件報(bào)表:用于記錄本地系統(tǒng)所發(fā)生的事件����、如:系統(tǒng)重啟、關(guān)機(jī)����、更改系統(tǒng)事件����、清除審核日志等���。
賬戶變更報(bào)表:滿足薩班斯法案302 (a)(6)的要求�����,追蹤賬戶的變更(添加����、刪除���、權(quán)限變更等)�����。
策略變更報(bào)表:滿足薩班斯法案302 (a)(5)的要求�,追蹤審核策略的變更�����,滿足內(nèi)控目標(biāo)的要求。
...
ELA處理提供薩班斯法案的合規(guī)性報(bào)表之外���,默認(rèn)還提供PCI DSS, FISMA, ISO 27001, HIPAA, 及GLBA合規(guī)性報(bào)表�。
- 監(jiān)控敏感信息
也許您看過每年3.15晚會(huì)揭露的��,客戶重要信息被不法人員盜用�、獲利的消息��。這也從側(cè)面反映出我國(guó)目前在IT信息安全化管理方面還有很多工作需要改進(jìn)�����。
每個(gè)企業(yè)或組織,都會(huì)有自己敏感的數(shù)據(jù)存放在服務(wù)器上����,如果沒有合適的監(jiān)控措施���,要確保信息的安全����,確保數(shù)據(jù)不被盜用(非法訪問)是不可能的�����。
某公司在部署ELA之后,除了收集企業(yè)的服務(wù)器及關(guān)鍵應(yīng)用的日志之外�,還應(yīng)用ELA提供的文件完整性監(jiān)控的功能�����,監(jiān)控企業(yè)內(nèi)部服務(wù)器上的關(guān)鍵數(shù)據(jù)�。
ELA首先對(duì)要監(jiān)視的文件及文件夾進(jìn)行全面掃描���,獲取所有文件的大小�、內(nèi)容���、屬性、權(quán)限�、所有者等信息,并以此為基線�����,對(duì)文件進(jìn)行監(jiān)控。
ELA可以在發(fā)現(xiàn)文件或文件夾有變更時(shí)����,及時(shí)告警����。同時(shí)�,ELA可以全面追蹤要監(jiān)視的文件和文件夾所發(fā)生的所有變更(如:文件或文件夾被創(chuàng)建�、訪問��、查看、修改���、重命名)����,讓管理人員了解誰��、什么時(shí)間���、從哪里�����、訪問/修改了什么文件���。它提供的報(bào)表,可以幫助管理員及時(shí)了解被監(jiān)視文件的情況����。
當(dāng)然,您不能希望通過ELA去阻止不法人員的不法行為�,但是���,正如停車場(chǎng)里安裝的攝像頭一樣���,它會(huì)對(duì)不法人員起到一定的威懾作用。同時(shí)為今后取證分析保留有用的數(shù)據(jù)���。
- 滿足日志管理的需求
某公司需要將分步在不同服務(wù)器上日志進(jìn)行集中管理,在部署ELA之前����,通過管理員編寫的腳本完成日志文件的復(fù)制���、整理及歸檔。盡管也在一定程度上實(shí)現(xiàn)了管理需求���,但是由于無法實(shí)現(xiàn)實(shí)時(shí)關(guān)聯(lián)分析���、告警�����、無法生成有用的報(bào)表。因此決定部署ELA�����。
通過ELA�,管理員配置了告警條件����、制定了備份策略���、報(bào)表計(jì)劃,ELA就可以自動(dòng)收集所有服務(wù)器及企業(yè)關(guān)鍵應(yīng)用的日志�����,并在符合告警條件的情況下及時(shí)告警。而且ELA可以自動(dòng)將有用的報(bào)表發(fā)送給管理人員����,大大地節(jié)省了管理員的時(shí)間�����,可以讓管理員將精力投放到更需要關(guān)注的問題上去。
而且����,ELA可以實(shí)現(xiàn)歸檔日志的加密存儲(chǔ),使得日志數(shù)據(jù)更加安全��、可靠,當(dāng)需要日志取證時(shí)����,可以加載已歸檔的日志,生成需要的報(bào)表�。
|
