为了应对不断涌现的安全威胁,许多企业都部署了多种安全设备。这些设备生成大量的日志信息。为了利用这些信息,许多企业还部署了日志收集和分析程序。即使如此,许多用户仍然认为安全设备的作用没有达到期望值。之所以发生这种情况,常常是由于人们在日志分析中的五个误区所造成的。
不查看日志
许多用户都会犯一个低级错误—不查看日志。虽然收集和存储日志很重要,但只有经常查看日志,了解网络环境中发生了哪些情况,才能及时做出响应。一旦部署了安全设备并且收集了日志,用户需要对其进行持续监控,以及时发现可能发生的安全事件。
一些用户只在重大事件之后才审查日志,尽管这些用户能够获得事后分析的好处,但没能获得事前预防的好处。主动查看日志有助于用户更好地实现安全设施的价值,了解攻击行为将在何时发生并及时采取措施。
许多用户总爱抱怨入侵检测系统( IDS )不能起作用。造成这一问题的重要原因就是,IDS经常产生误报,使人们无法根据其警告信息采取行动。如果人们将IDS日志与其他日志(如_blank">防火墙日志)进行全面关联分析,就能充分发挥IDS的作用。
没区分日志的优先次序
日志已经收集完毕,存储时间也足够长,并且日志格式也统一了,接下来网管员应该从何处着手呢?建议用户设法获得高水平的摘要以查看最近的安全事件。这需要克服另外一个错误,即不区分日志记录的优先次序。一些网管员理不清优先次序就研究大量的日志数据,结果就会半途而废。
有效优先化的第一步就是对策略进行定义。回答下列问题会有助于定义策略:“最担心什么?”“攻击得逞了吗?”“以前发生过这种攻击吗?” 可帮助用户开始制定优先化策略,减轻用户每天收集日志数据的负担。
评论Feed: http://www.85815.com/feed.asp?q=comment&id=343
引用链接: http://www.85815.com/trackback.asp?id=343&key=
这篇日志没有评论.
