网管员在日志分析中的五个误区
为了应对不断涌现的安全威胁,许多企业都部署了多种安全设备。这些设备生成大量的日志信息。为了利用这些信息,许多企业还部署了日志收集和分析程序。即使如此,许多用户仍然认为安全设备的作用没有达到期望值。之所以发生这种情况,常常是由于人们在日志分析中的五个误区所造成的。
不查看日志
许多用户都会犯一个低级错误—不查看日志。虽然收集和存储日志很重要,但只有经常查看日志,了解网络环境中发生了哪些情况,才能及时做出响应。一旦部署了安全设备并且收集了日志,用户需要对其进行持续监控,以及时发现可能发生的安全事件。
一些用户只在重大事件之后才审查日志,尽管这些用户能够获得事后分析的好处,但没能获得事前预防的好处。主动查看日志有助于用户更好地实现安全设施的价值,了解攻击行为将在何时发生并及时采取措施。
许多用户总爱抱怨入侵检测系统(IDS)不能起作用。造成这一问题的重要原因就是,IDS经常产生误报,使人们无法根据其警告信息采取行动。如果人们将IDS日志与其他日志(如防火墙日志)进行全面关联分析,就能充分发挥IDS的作用。
没区分日志的优先次序
日志已经收集完毕,存储时间也足够长,并且日志格式也统一了,接下来网管员应该从何处着手呢?建议用户设法获得高水平的摘要以查看最近的安全事件。这需要克服另外一个错误,即不区分日志记录的优先次序。一些网管员理不清优先次序就研究大量的日志数据,结果就会半途而废。
有效优先化的第一步就是对策略进行定义。回答下列问题会有助于定义策略:“最担心什么?”“攻击得逞了吗?”“以前发生过这种攻击吗?” 可帮助用户开始制定优先化策略,减轻用户每天收集日志数据的负担。
日志格式不统一
日志格式不统一十分普遍:有的基于简单网络管理协议,有的则基于Unix系统。缺乏统一的日志格式,导致企业需要不同的专家来从事日志分析,这是因为并非所有通晓Unix日志格式的管理人员都能看懂Windows事件日志记录,反之亦然。多数网管员通常只对少数系统熟悉,将设备生成的日志信息转换为统一的格式有利于网管员进行关联分析和进行决策。
日志存储时间太短
许多用户认为自己拥有进行监控和调查所需要的所有日志,但是在遭遇安全事件之后才发现,相应的日志信息已经被删除了。安全事件通常是在攻击或滥用行为发生后很长时间才被发现。 如果费用紧缺,建议用户将保留的日志分为两个部分:短期的在线存储和长期的离线存储。将旧日志信息存储在磁带中,既能节约离线存储的成本,还能长久保存以备未来分析。
只查找已知的不良信息
即使最先进和最注意安全的用户有时也会陷入网络陷阱。这种网络陷阱十分阴险,会严重降低日志分析的价值。如果用户只查看已知的不良信息时,这种事情就会发生。
交换机在查找日志文件中已定义的不良信息时,显得十分有效。然而要充分实现日志数据的价值,就需要进行日志的深度挖掘。在没有预先想定所需要的不良信息前提下,用户可以在日志文件中发现一些有用信息,包括遭受攻击和感染的系统、新的攻击、内部滥用和知识产权偷窃等。怎样才能提高发现潜在攻击行为的机率呢?这需要借助数据挖掘方法,数据挖掘可以使用户快速查找日志数据中的异常信息。