日记数据可以提早发现和避开网络安全的灾难[网络技术]

日记数据可以是有代价的信息宝库,也可以是毫无代价的数据泥潭.要保护和提高你的网络安全,由各种操作系统、利用程序、设备和安全产品的日记数据可以帮忙你提早发现和避开灾难,并且找到安全事件的根本缘由.

当然,日记数据关于实现网络安全的代价有多大取决于两个因素:第一,你的系统和设备必须举行符合的设置以便记录你需求的数据.第二,你必须有符合的工具、培训和可用的资源来解析汇集到的数据.

你不能解析你没有的东西

在你可以解析日记数据之前,你明显要汇集数据.更重要的是,记录数据的程序大概设备要设置为汇集你需求的数据.比方,微软的 Windows操作系统在"Event Viewer Security"(安全事件察看器)中可以查抄到各种活动和日记信息.但是,在Windows 2000和XP中,安全查抄功效并非缺省启用的,Windows Server 2003缺省的安全查抄设置大概不能满意你的需求.

关于Windows中的安全查抄事件,你可以挑选记录成功的尝试,大概记录失利的尝试.假如你仅挑选记录失利的拜候文件和文件夹的数据,记录的数据就不会显示这个文件是什么时刻被成功破解的.假如你仅记录成功地拜候一个用户账号的尝试,记录的数据就不会向你显示一个黑客50次没有猜对那个账号的用户名和密码.

无论你是在利用Windows操作系统还是任何别的的设备和程序,你必须耗费一些时间和勤奋事前理解你拥有的安全日记功效,并且为你的需求恰本地设置好日记选项.固然简单地把一切都记录下来仿佛是合乎逻辑的,但是,监测和记录安全事件会给处理器增添工作负担并且要利用内存和硬盘的空间.你需求理解可用的日记选项,在记录一切和全不记录之间挑选最佳的均衡点,以便记录对你有代价的数据.

信息过载

一旦你汇集完日记数据,这个挑衅就是若何有效地操纵这些数据.位于新泽西州Edison的netForensics公司安全战略家Anton Chuvakin指出:"一旦技术符合和汇集完日记,就需求实施一个监测程序并且评价行动中的陷阱和大概的进级.

网络和安全管理员常常耗费时间成立日记数据汇集,但是,他们没有处理这些数据大概没有现成的资源来监测和解析那些数据.因为没有人监测这些日记数据,有关网络侦查大概潜在的攻击的信息大概会被忽视而失去时效.

当安全事件发生时,查看日记数据也答应以肯定事件发生的时间.但是,在很多情形下,需求查看的数据量太大,人们没有经过技术培训大概不会查看这些数据,有日记数据也没有意义了.

目前,有安全事件管理(SEM)利用软件等一些工具专门用于监测安全事件并且利用某些逻辑大概过滤器帮忙管理员获得有意义的数据.但是,这些工具仍需求设置和恰本地利用才能有效率.人们要对过滤的数占据所理解并且采纳办法.

收会堆积如山的事件日记数据,假如没有经过培训的人员和资源对这些日记数据举行监测和解析,就好像没有汇集任何数据一样毫无用处.在本系列讲座的下一讲,我将供应一些本领,帮忙你理解这些日记数据的意义,并且利用这些数据保护你的网络和加强网络的安全.

日记数据在管理计算机大概网络方面是一种有代价的和实用的工具.事前监测日记数据以探求可疑的活动迹象的本领大概在发生安全事件时解析日记数据是非常有代价的.

第一步是确保你的系统和设备举行了精确的配置,以便查抄和记录事件.假定日记数据已经被捕捉和存储,你需求一个有效的工作流程来查抄和解析这些数据.下面的一些倡议可以向你供应一些指南并且确保你最有效和最充分地利用你的日记数据.

1.有规律地查抄日记数据

固然日记数据在安全事件发生时用作法院的证据是非常有效的,但是,假若有规律地解析这些日记数据,这种安全事件大概根本就不会发生.

应当成立一个工作流程,肯定多长时间查抄和解析一次汇集到的日记数据.按期解析由整个网络中的各种利用程序和设备汇集到的海量日记数占据助于找出和诊断弊端,还大概发现正在举行中的攻击.

2.以开放的目光查看日记信息

在解析日记数据经常见的错误是要具体找出已知的事件大概日记项.但是,日记数据中大都有代价的内容仿佛存在于表面上很好大概正常的日记项目中.通过以开放的目光查抄这些日记项目,你大概会找到可疑的活动迹象.假如你仅仅查看错误信息,这种迹象极大概会漏掉.

假如把日记检查的重点放在查找已知的恶意活动方面,任何新呈现的威胁大概对客户的攻击城市由于失策而漏掉.

3.通过一个透镜查看数据

整个网络中的设备和利用程序将汇集日记数据.遗憾的是没有一种通用的格局大概办法来记录和显示事件的信息.

为了举行精确的比对,某种情势的转化便产生了,也就是对日记数据实施"正常化".一旦数据紧缩为通用的组件,就很简单把这个网络作为一个整体举行解析,而不是作为一个单独的日记项目举行解析.这样便可以更好地按照轻重缓急对发现的问题举行处理大概做出反映.

日记数据的处理是很艰难的.日记信息中包含贵重的钻石信息.但是,你需求发掘很多土壤才能找到这些钻石.海量的日记数据使有效地操纵这些数据成为表明上不可降服的挑衅.但是,有SEM(安全事件管理器)等工具软件可以帮忙你查找数据.但是,没有肯定若何利用日记数据的流程,没有可以有效地解析日记数据并且对日记数据中发现的信息做出反映的经过培训的人员,这种工具将毫无用处