新聞分類
News list審計和監(jiān)控技術(shù)介紹
時間:2021-04-07 09:07:00 來源:http://www.ricklacy.com/news587772.html
審計和監(jiān)控技術(shù)介紹
一個審計系統(tǒng)通常由日志記錄器、分析器和通告器三部分組成,分別用于收集數(shù)據(jù),分析數(shù)據(jù)和通報結(jié)果,內(nèi)網(wǎng)終端安全隨時隨刻地都威脅企業(yè)網(wǎng)絡(luò)的安全運行,對維護和管理造成極大的不便。
1. 日志記錄器,日志記錄器可以把信息記錄成二進制形式或可讀的形式,,然后由系統(tǒng)來提供日志瀏覽工具,用戶可以使用工具來檢查原始數(shù)據(jù)和使用文本處理工具來編輯數(shù)據(jù)
對于日志的內(nèi)容,日志應(yīng)該記錄每一個可能的事件,但是這樣做是不現(xiàn)實的,原因是產(chǎn)生的日志文件存儲量將遠遠大于業(yè)務(wù)系統(tǒng),而且會嚴(yán)重影響系統(tǒng)的性能。所以在一般的情況下,日志應(yīng)當(dāng)記錄任何必要的事件,來檢測已知的攻擊模式和異常的攻擊模式,日志還應(yīng)當(dāng)記錄下關(guān)于記錄系統(tǒng)連續(xù)可靠工作的信息,通常情況下,日志包含,時間、引發(fā)事件的用戶、事件源的位置、事件類型和事件成敗等
2. 分析器,分析器用戶分析日志數(shù)據(jù),分析的結(jié)果可能會改變正在記錄的數(shù)據(jù),也可能只檢測一些事件或問題
通過對日志的分析,發(fā)現(xiàn)所需事件信息和規(guī)律是安全審計的根本目的
日志分析就是在日志中尋找模式,主要分析的內(nèi)容有:1. 潛在的侵害分析 2. 基于異常檢測的輪廓,日志分析應(yīng)當(dāng)確定用戶正常行為的輪廓,當(dāng)日志中的事件違反正常訪問的輪廓時,日志分析就應(yīng)該指出將要發(fā)生的威脅3. 簡單攻擊探測和復(fù)雜攻擊探測
3. 通告器,分析器把分析的結(jié)果傳送給通告器,通告器把審計的結(jié)果通告給系統(tǒng)管理員來執(zhí)行一些操作來響應(yīng)通告的結(jié)果