PodręcznikiSEO i marketinguWEB i WordPress

Dlaczego zarządzanie dziennikami jest ważne

Od
1
Treść Ukrywać
Niezbędny codzienny przegląd
Odfiltruj to, czego nie potrzebujesz
Zarządzaj dziennikami bardziej efektywnie

Monitorowanie dziennika działa bardzo podobnie do wartownika. W przeszłości forty wojskowe miały na murach wieże strażnicze, na których ustawiano wartowników lub strażników obserwujących otoczenie. Ich obowiązkiem było zaalarmowanie znajdujących się w środku podejrzanych działań, aby mieszkańcy portów mogli przygotować się na wypadek ataku.

W przypadku monitorowania dziennika jest to nieco podobne. System logowania będzie śledził zdarzenia w systemie, działania w sieci oraz różne działania podejmowane przez użytkownika.

Informacje generowane przez system rejestrowania mają wiele nazw: dzienniki zdarzeń, pliki dziennika, ścieżki audytu i zapisy audytu. Zadaniem systemu monitorowania dzienników jest monitorowanie plików dzienników i upewnianie się, że wszystko działa poprawnie.

Prawie każde oprogramowanie generuje logi. Od przeglądarek internetowych, przez systemy operacyjne, zapory ogniowe, po oprogramowanie punktów sprzedaży (POS). Niektóre z nich mogą mieć możliwość logowania, ale nie robią tego domyślnie, dlatego ważne jest, aby zawsze upewnić się, że dzienniki są włączone w dowolnym systemie, z którym pracujesz. Ponadto, chociaż systemy mają wbudowane własne narzędzia do rejestrowania, nie wszystkie z nich mają również wbudowane narzędzia do zarządzania logami. Dlatego ważne jest, aby znać możliwości swojego systemu, a nawet zainstalować rozwiązania innych firm do zarządzania logami, jeśli trzeba.

Niezbędny codzienny przegląd

Ważne jest, aby stale przeglądać dzienniki, ponieważ pokazują one wszelkie podejrzane działania w systemie. Powinieneś codziennie przeglądać swoje dzienniki, aby znaleźć podejrzane działania, które mają miejsce w twoim systemie.

Dzienniki są ważne ze względów bezpieczeństwa, ponieważ są pierwszymi wskaźnikami, że coś jest nie tak. Przeglądając je regularnie, dajesz sobie możliwość zduszenia ataków w zarodku.

Rzecz w dziennikach polega jednak na tym, że wiele plików dziennika jest generowanych codziennie przez nawet najprostszy system. W dużym systemie korporacyjnym liczba plików dziennika może być oszałamiająca. Niepraktyczne byłoby przeglądanie ich i ręczne wyszukiwanie nietypowych zdarzeń. Najlepszym sposobem rozwiązania tego problemu jest posiadanie systemu monitorowania dzienników w czasie rzeczywistym, który ostrzega za każdym razem, gdy zostanie wykryte coś nieoczekiwanego.

Odfiltruj to, czego nie potrzebujesz

Oczywiście systemy i sieci różnią się między sobą, więc nie wszystkie pliki dziennika generowane przez system będą dla Ciebie przydatne. Dlatego musisz być w stanie odfiltrować to, czego nie potrzebujesz, aby pozostać tylko przy tym, co jest dla Ciebie ważne. Może to być trochę forma sztuki, ponieważ należy stale modyfikować ustawienia, aby pasowały do ​​środowiska, w którym obecnie znajduje się twój system.

Większość rozwiązań do monitorowania logów jest dostarczana z szablonami alertów, dzięki czemu masz od czego zacząć. Nie jest to najlepsze rozwiązanie, ale przynajmniej otrzymujesz punkt wyjścia, od którego możesz przeprowadzić optymalizację. Powinieneś poświęcić trochę czasu na optymalizację tych funkcji ostrzegania na wczesnym etapie, aby później nie przechodzić przez trudne chwile. Istnieją różne zdarzenia, dla których możesz potrzebować alertów, w zależności od rodzaju używanego systemu:

  • Nieautoryzowane logowania
  • Zmiany haseł
  • Nowe loginy
  • Błędy logowania
  • Wykrywanie złośliwego oprogramowania
  • Ataki złośliwego oprogramowania
  • Ataki typu „odmowa usługi".
  • Skanuje otwarte i zamknięte porty oraz zapory sieciowe
  • Zmiany w nazwach plików
  • Błędy związane z urządzeniami sieciowymi
  • Wyeksportowane dane
  • Zmiany integralności plików
  • Zdarzenia związane z dostępem współdzielonym
  • Zatrzymanie uruchomionych procesów lub uruchomienie nowych procesów
  • Audyty akt
  • Instalacja nowych usług
  • Odłączone zdarzenia
  • Modyfikacja wartości rejestru
  • Nowe konta użytkowników

To tylko niektóre z wielu rzeczy, o których możesz chcieć otrzymywać alerty. Wszystko zależy od rodzaju używanego systemu.

Zarządzaj dziennikami bardziej efektywnie

Tymczasem istnieje kilka kroków, które możesz podjąć, aby skuteczniej zarządzać dziennikami, bez względu na rodzaj systemu, z którego korzystasz:

  • Zastanów się, jak i kiedy chcesz generować dzienniki
  • Przechowuj swoje dzienniki w bezpiecznym miejscu, aby chronić je przed hakerami, a także mieć pewność, że ludzie o dobrych intencjach nie zmienią ich przez pomyłkę
  • Poproś zaufanego pracownika o codzienne przeglądanie dzienników
  • Poproś zespół, aby zwracał uwagę na podejrzane alerty wysyłane przez narzędzie do monitorowania logów
  • Posiadać protokoły regulujące generowanie alertów; zrób to dobrze za pierwszym razem, zgodnie z twoją wyjątkową sytuacją, abyś nie miał później problemów
  • Przechowuj swoje logi przez co najmniej rok od momentu wygenerowania; w dowolnym momencie mieć natychmiastowy dostęp do dzienników z ostatnich trzech miesięcy
  • Zawsze szukaj sposobów na usprawnienie gromadzenia, przechowywania i analizy logów
Źródło nagrywania: instantshift.com
0 posts 730 comments
Może Ci się spodobać Więcej od autora

Comments are closed, but trackbacks and pingbacks are open.

Ta strona korzysta z plików cookie, aby poprawić Twoje wrażenia. Zakładamy, że nie masz nic przeciwko, ale możesz zrezygnować, jeśli chcesz. Akceptuję Więcej szczegółów