日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

有志于對信息系統(tǒng)所產(chǎn)生的大量數(shù)據(jù)加以分析的企業(yè)必須檢查用戶訪問、配置變更以及其它日志事件。

專注于為中小企業(yè)提供成都網(wǎng)站設(shè)計、網(wǎng)站制作服務(wù),電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)雙湖免費做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動了上千企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設(shè)實現(xiàn)規(guī)模擴充和轉(zhuǎn)變。

無論是為了提升性能、收集商業(yè)情報還是檢測安全威脅，日志管理工作都應(yīng)被劃分為以下三個步驟：收集日志、存儲數(shù)據(jù)并通過分析將數(shù)據(jù)轉(zhuǎn)化為可識別模式。

然而，作為安全網(wǎng)絡(luò)協(xié)會提出的二十大關(guān)鍵性安全控制機制之一，日志數(shù)據(jù)收集與分析并沒有得到大多數(shù)企業(yè)的重視及嚴格執(zhí)行。除非法律或者法規(guī)做出明確規(guī)定，否則企業(yè)管理者根本不關(guān)心技術(shù)人員有沒有定期收集并分析日志內(nèi)容。IT管理及監(jiān)控軟件企業(yè)SolarWinds公司產(chǎn)品經(jīng)理Nicole Pauls表示，面對如此規(guī)模的數(shù)據(jù)總量，信息技術(shù)專家很可能搞不清該從哪里入手。

“當(dāng)人們接觸日志管理工作時，往往會被立刻淹沒在大量數(shù)據(jù)的海洋當(dāng)中，”她表示?！按蠹蚁Ｍφ业狡渲械漠惓！⒐逃心Ｊ交蛘吣承┲虢z馬跡，但這真的非常困難?！?/p>

戴爾安全事務(wù)反威脅部門主管Ben Feinstein指出，優(yōu)秀的安全日志分析方案需要包含四大原則。首先，企業(yè)需要監(jiān)控正確的日志對象，例如防火墻、虛擬專有網(wǎng)絡(luò)(簡稱VPN)設(shè)備、網(wǎng)絡(luò)代理以及DNS服務(wù)器。其次，安全團隊必須收集那些在企業(yè)網(wǎng)絡(luò)中看似“尋常”的數(shù)據(jù)。第三，分析人士必須能夠從日志文件中識別出攻擊活動指標。最后，安全團隊必須制定執(zhí)行流程，用于響應(yīng)通過日志分析識別到的事件。

“如果安全團隊無法從監(jiān)控系統(tǒng)中正確找到負面或者可疑活動，單純將全部日志推向SIEM(即安全信息與事件管理)系統(tǒng)對于安全工作其實毫無用處，”Feinstein解釋稱。

根據(jù)安全專家的建議，企業(yè)應(yīng)該著重檢查五種事件類型。

1. 異常用戶訪問

Windows安全日志以及Active Directory域控制器記錄是發(fā)現(xiàn)網(wǎng)絡(luò)惡意活動的良好起點。根據(jù)惠普Arcsight產(chǎn)品營銷經(jīng)理Kathy Lam的說法，權(quán)限、來自未知位置的遠程用戶登錄以及利用一套系統(tǒng)訪問其它內(nèi)容的行為都是惡意活動的顯著特征。

“在觀察惡意攻擊類型以及黑客進入業(yè)務(wù)環(huán)境的過程中，我們發(fā)現(xiàn)惡意人士往往會在數(shù)月甚至超過一年的漫長周期中始終冒充普通用戶，”她指出。“通過整理網(wǎng)絡(luò)活動基準并將當(dāng)前活動與之相比較，安全人士能夠切實發(fā)現(xiàn)攻擊活動?！?/p>

在安全工作當(dāng)中，最重要的保護群體要數(shù)那些特權(quán)賬戶——這部分用戶在各類網(wǎng)絡(luò)系統(tǒng)中擁有管理員級別的權(quán)限。由于這些賬戶有能力對網(wǎng)絡(luò)進行深層變更，因此大家需要打起十二分精神對其加以監(jiān)控。

2. 與威脅指標相匹配的模式

企業(yè)還應(yīng)當(dāng)將日志中的數(shù)據(jù)與其它各類來源信息加以比較，包括建立黑名單或者更具完整性的威脅情報服務(wù)，SecureWorks公司 的Feistein建議道。

威脅指標能夠幫助企業(yè)識別可疑IP地址、主機名、域名以及來自防火墻、DNS服務(wù)器或者網(wǎng)絡(luò)代理日志的惡意軟件簽名。

“網(wǎng)絡(luò)代理日志對于網(wǎng)絡(luò)流量而言是一種強大的觀察立足點，它會對網(wǎng)絡(luò)體系加以遍歷、了解終端系統(tǒng)如何與外部網(wǎng)絡(luò)相對接，”他表示。

3. “窗口”以外的配置變化

獲得了系統(tǒng)訪問權(quán)限的攻擊者通常會嘗試進一步改變配置以實施惡意活動，并為自己在網(wǎng)絡(luò)中構(gòu)建更為堅實的立足點。

由于大多數(shù)企業(yè)都為配置變更設(shè)定了限制時間，例如每周、每月或者每季度一次，因此由惡意人士執(zhí)行的配置變更——例如放開系統(tǒng)控制機制或者關(guān)閉日志記錄——應(yīng)該引起我們的警覺。這類跡象說明攻擊活動正在進行，SolarWinds公司副總裁Sanjay Castelino解釋道。

“這些變更通常只應(yīng)該發(fā)生在一個很小的‘窗口’當(dāng)中，一旦此類配置變更出現(xiàn)在窗口之外，就說明異常情況已經(jīng)發(fā)生，”他補充稱。

在某些情況下，分析機制能夠提供幫助。一般來說，安全管理產(chǎn)品所制定的規(guī)則相當(dāng)復(fù)雜，我們很難通過簡單分析判斷這些規(guī)則是否屬于惡意活動，Castelino指出。相反，安全團隊則能夠以維護窗口為界線輕松識別惡意變更。

4. 奇怪的數(shù)據(jù)庫事件

由于數(shù)據(jù)庫是企業(yè)基礎(chǔ)設(shè)施當(dāng)中的重要組成部分，因此企業(yè)應(yīng)當(dāng)通過嚴格監(jiān)視數(shù)據(jù)庫事件來檢測惡意活動。舉例來說，我們需要對嘗試選擇并復(fù)制大量數(shù)據(jù)內(nèi)容的查詢請求加以密切關(guān)注。

此外，僅僅監(jiān)控數(shù)據(jù)庫的通信活動還遠遠不夠。雖然日志事件會給數(shù)據(jù)庫性能造成一定影響，但掌握全部事件的詳細記錄對于成功預(yù)防數(shù)據(jù)泄露事故而言至關(guān)重要，安全管理企業(yè)Solutionary公司工程研究團隊研究主管Rob Kraus指出。

“當(dāng)客戶要求我們出示證據(jù)，證明哪些記錄曾經(jīng)接受訪問而哪些記錄不允許接受訪問時，數(shù)據(jù)庫事件的詳細日志的價值將得到充分體現(xiàn)，”他表示?！叭绻@些事件沒有經(jīng)過日志記錄，會給企業(yè)造成很大麻煩?？偠灾?，除非明確記錄下所有數(shù)據(jù)庫事件，否則我們很難證明哪些記錄曾被訪問過?！?/p>

5. 新的設(shè)備-用戶組合

在移動設(shè)備與自帶設(shè)備趨勢興起之前，企業(yè)可以將任何新接入網(wǎng)絡(luò)環(huán)境的設(shè)備默認視為可疑活動。然而時至今日，我們已經(jīng)不能再將此作為衡量指標，SolarWinds公司的Castelino表示。

相反，企業(yè)應(yīng)當(dāng)將設(shè)備與用戶相匹配，并將這種變更視為常規(guī)事件，他指出。

“大家可能仍然需要對設(shè)備進行標記，但應(yīng)該將設(shè)備與用戶結(jié)合起來進行整體標記，”他解釋道?！耙驗槿绻野炎约旱钠桨鍘霕I(yè)務(wù)環(huán)境，其他同事不應(yīng)該通過它登錄業(yè)務(wù)體系?！?/p>

原文鏈接：http://www.darkreading.com/monitoring/5-signs-of-trouble-in-your-network/240160980

網(wǎng)頁題目：網(wǎng)絡(luò)體系出現(xiàn)問題的五大征兆
網(wǎng)站網(wǎng)址：http://m.5511xx.com/article/ccecgeo.html