安全可见性助力日志工作

日期: 2008-08-28 作者:Robert Westervelt翻译:Tina Guo 来源:TechTarget中国 英文

很多公司都要求保留重要系统事件的详细日志文件,但是直到现在,大部分公司都没有做出适当的分析,前提是他们确实分析了。


  一位研究人员正在努力使这些数据更容易使用。日志管理公司Splunk Inc.的安全专家Raffael Marty写了一本书,名为《应用安全可见性》(Applied Security Visualization),推崇使用复杂图表来更好的查看日志。这本书的初次面世是在本月拉斯维加斯的黑帽子大会上。


  Marty 说:“如果你查看日志文件或者系统事件来了解你的计算机或者网络上正在上发生的事情,很多人都查看文本日志,……然后问题是日志有10万或者更多行,所以很难指出数据正在发生什么问题。如果你从数据中产生一张图片,你就可以很快发现正在发生什么。”


  目的是取出网络流量、入侵防御系统和防火墙数据,并观察每一部份来创建公司全面安全状况的图表。Marty说,当你开始开发更好的图表,充实数据时,你就可以查看样式和某个时间的突出信息的特定部分。


  Marty说,安全可见性图表仍然相对不成熟,需要更多的研究。在安全调查中使用图表的工具很少。


  Marty说:“如果有更多的工具时其变得更简单,我认为会有很多人使用图表。”


  Marty说,如果你有成千上万的日志文件需要查看,它就会很灵活。Marty说,公司需要对他们收集的数据进行可靠的处理,而安全专家也需要对这些记录有一定程度的理解。如果员工不具有该领域的技术产生图表,防火前改的日志文件就会毫无用处。


  Marty已经发布了一份Linux CD,名字是《数据分析和可见性Linux》(Data Analysis and Visualization Linux ,DAVIX)。这个结构是基于SLAX分布的,并且包括一些数据处理和查看的一些免费工具,Marty还创建了一款叫做AfterGlow的日志文件分析工具,它可以产生时间图表和树形图。


  Marry说,为了取得最好的结果,日志数据需要经过过滤和重新聚合。


  Marty说:“有了防火墙日志文件,你就不需要知道从外部连接到自己电脑的具体的IP地址。你可以把它聚集起来,了解正在发生的事情,然后如果你想要深入,就可以打开聚集的文件。”


  Marty说,可见性图表可以用于为公司的法规遵从项目建立仪表盘。例如,图表可以帮助查看对支付卡行业数据安全标准(Payment Card Industry Data Security Standard,PCI DSS)的每一条要求的违反情况,帮助公司确定他们在标准的那个方面存在不足。为了满足萨班斯?奥克斯利法案(Sarbanes-Oxley,SOX)),有的公司可以从流向存储公司财务数据的服务器的可见流量中的刀参数。


  Marty说,可见性图表可以成为在实时事件数据中查找数据库违例的重要工具。它可以用于审计大型数据库管理系统,例如Oracle和微软的SQL-Server,指出谁访问了哪一个表格以及数据库表格是否做了更改。
 
  Marty说:“如果你把它和用户关联起来,你会很快发现违例。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

Tina Guo
Tina Guo

相关推荐