給日志源分出主次大有利于開展有效事件響應。

就像分診護士一樣，安全人員也必須給數據分出個優先主次，以幫助他們更好地識別問題，使公司企業及其數據和設備能夠避免入侵者和網絡攻擊的傷害。

但是，記錄和監視IT環境中的所有相關事件并不簡單。舉個例子，一些常見日志源，比如服務器、防火墻、活動目錄(AD)、入侵檢測系統(IDS)和終端工具，就很容易接入和解析。但對事件響應(IR)尤其有價值的其他源，就因所需工作量太大而難以大規模管理，也極少接入。

事實上，451Research對150家大型企業的調查研究發現，企業日志產出系統生成的日志中，只有不到一半(45%)被其安全信息與事件管理(SIEM)平臺接入。這意味著企業安全團隊面臨缺失關鍵信息的風險，一些指征入侵的指標可能會被錯過，企業整體安全態勢受到影響。

為最大化日志效益，公司企業必須評估和調適現有過程，以符合當前需求和威脅狀況，并考慮記錄往往被忽略掉的對IR和威脅追捕價值無限的事件源。下面5個日志源值得安全團隊加以重視。

1. 數據庫日志

數據庫日志難是有原因的。管理員通常選擇不開啟審計之類功能，因為此類功能可能會影響到服務器的性能。企業環境中數據庫服務器的數量通常很龐大，審計數據庫和表非常困難。而且，如果第三方創建的數據庫對數據和表結構查閱做了限制，企業安全團隊也難以訪問和查看數據庫中發生的操作。

想在不開啟審計功能的情況下獲得足夠的數據庫可見性，如果數據庫活動監視可用的話，可以考慮關聯內置規則和警報到公司SIEM平臺。還可以創建監測特定行為的預置過程，寫下帶有違規記錄的ID、日期和時間的事件日志以觸發警報。

2. Web服務器日志

《2018威瑞森數據泄露調查報告》指出，數據泄露的幾大主要原因中，Web應用中的漏洞占據了最大比例——Web應用通常可以訪問高度敏感的客戶賬戶信息。不幸的是，安全團隊卻最為缺乏Web服務器日志。

另外，與微軟IIS或Apache之類原生Web服務器日志不同，Web服務器日志往往以多行或定制格式很不標準地記錄到文本文件或數據庫中，這就讓Web服務器日志的解析變得異常困難。如果你使用標準Web服務器日志，要確保啟用了所有相關域，因為IIS的默認W3C設置不捕獲一些重要元素，比如頁面大小和cookie值。Web應用防火墻(WAF)事件日志已經關注了潛在惡意行為。

3. DNS日志

DNS提供用戶訪問網站的豐富信息，顯示有無惡意應用在訪問命令與控制(CnC)站點。但因為防火墻往往允許DNS數據出站，DNS也是用于滲漏數據的常見隧道協議。因數據量巨大，不標準的多行格式，以及導出難度，DNS日志記錄與解析工作頗為棘手。

可以考慮采用BIND、Infoblox，甚至微軟的新 Analytical Event Logging方法——使用更標準的日志格式而不是傳統的調試和平面文件導入。新的Analytical日志方法比調試方法性能高得多，且日志以常見的 Windows Event Log 格式存儲。

4. 云平臺日志

AWS、谷歌云平臺、微軟Azure、Salesforce和Dropbox等云服務越來越多地被公司企業用于存儲數據和應用。但是此類服務大多不具備統一的日志格式，需要不同的解析器，記錄平臺上托管的各個應用產生的事件也需不同記錄方法。對大多數團隊而言，為如此之多的事件構造解析器就十分困難了，但若在接入之前有效預過濾數據，就能通過只處理可執行事件而防止SIEM或日志工具過載。

云應用安全代理(CASB)解決方案或許不是無所不包的企業平臺，但能提供應用或服務級的細粒度審計功能，需作為完整的云平臺加以日志和監視上的考慮。CASB是事件響應和取證調查的必備工具，因為報警云服務未授權訪問可以預示潛在的內部人威脅。

5. 物理安全日志

監視攝像系統、生物特征/卡門禁讀取器和警報系統的內部人威脅日志也非常有價值。這些日志源的信息與來自服務器、工作站、防火墻、VPN和遠程訪問設備的證據相關聯，就可以揭示登錄憑證是否被盜，及時確認內部威脅的具體位置。不過，物理安全團隊和IT安全團隊之間通常都沒有合作，使得不同日志源的信息難以收集和關聯起來。除此之外，迥然不同的系統之間也無法實現日志攝入。安全團隊的關注重點應該放在遠程設施的未授權物理訪問，訪客和承包商對未授權區域的訪問，以及下班時間警報觸發等事情上。

保持警惕

上述5個日志源有助于提升對整個企業安全環境的可見性，但公司企業需靈活處理其安全產品產生的新警報。451Research報告發現，43%的公司企業無法應對至少1/4的警報，近半數公司企業稱其SIEM、終端檢測與響應和其他數據捕獲系統讓他們的安全運營團隊疲于應付。

最好是能夠為所有可能的日志源創建路線圖，令IT安全團隊與受影響的業務部門合作以設立日志優先級，將日志攝入所需工作量及其能夠緩解的潛在風險納入考慮。事先搞好安全團隊與數據或應用擁有者之間的協作，可以確保雙方能夠一起審查可執行事件類型，并發現日志源擁有者可能需要更多可見性的地方。

451 Research 的調查：

https://protect-eu.mimecast.com/s/kuoWCJy99clWo3lhG5fxp

《2018威瑞森數據泄露調查報告》：

https://protect-eu.mimecast.com/s/rLytCK1VVsPykzPU3G1oJ?domain=enterprise.verizon.com

相關閱讀

消痕匿跡的黑客：論日志與流量模式備份的重要性

總結

以上是生活随笔為你收集整理的取证 c语言实现日志导出_日志与日志不一样：五种不能忽略的日志源的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。