Почему важно управление журналами

8

Мониторинг журнала работает очень похоже на часового. В прошлом военные форты имели на своих стенах сторожевые башни, где стояли часовые или охранники для наблюдения за окрестностями. В их обязанности входило предупредить находящихся внутри, если они увидят какую-либо подозрительную активность, чтобы жители портов могли подготовиться в случае нападения.

С мониторингом журналов все примерно так же. Система ведения журнала будет отслеживать события в системе, действия в сети и различные действия, предпринятые пользователем.

Информация, которую производит ваша система ведения журналов, имеет множество названий: журналы событий, файлы журналов, контрольные журналы и контрольные записи. Работа системы мониторинга журналов заключается в отслеживании файлов журналов и обеспечении того, чтобы все работало нормально.

Почти все программное обеспечение генерирует журналы. От интернет-браузеров до операционных систем, брандмауэров и программного обеспечения для точек продаж (POS). Некоторые из них могут иметь возможность вести журнал, но не будут делать этого по умолчанию, поэтому важно всегда следить за тем, чтобы журналы были включены в любой системе, с которой вы работаете. Кроме того, хотя в системы встроены собственные инструменты ведения журналов, не все из них также имеют встроенные инструменты управления журналами. Вот почему важно знать возможности своей системы и даже устанавливать сторонние решения для управления журналами, если это необходимо.

Необходим ежедневный обзор

Важно постоянно просматривать свои журналы, потому что они покажут вам любую подозрительную активность, происходящую в вашей системе. Вы должны ежедневно просматривать свои журналы, чтобы найти любую подозрительную активность, происходящую в вашей системе.

Журналы важны для целей безопасности, потому что они являются первыми индикаторами того, что что-то не так. Когда вы регулярно просматриваете их, вы даете себе возможность пресечь атаки в зародыше.

Однако проблема с журналами заключается в том, что даже самая простая система ежедневно создает множество файлов журналов. Если у вас крупная корпоративная система, количество файлов журналов может быть ошеломляющим. Было бы нецелесообразно проходить их и искать аномальные события вручную. Лучший способ решить эту проблему — иметь систему мониторинга журнала в реальном времени, которая предупреждает вас каждый раз, когда обнаруживается что-то неожиданное.

Отфильтруйте то, что вам не нужно

Конечно, системы и сети везде разные, поэтому не все файлы журналов, созданные вашей системой, будут вам полезны. Поэтому вам нужно уметь отфильтровывать то, что вам не нужно, чтобы оставаться только с тем, что важно для вас. Это может быть своего рода искусством, поскольку вы должны постоянно изменять настройки, чтобы соответствовать среде, в которой находится ваша система в данный момент.

Большинство решений для мониторинга журналов поставляются с некоторыми шаблонами для предупреждений, чтобы вам было с чего начать. Это не окончательное решение, но, по крайней мере, вы получаете отправную точку, с которой можно выполнять оптимизацию. Вы должны не торопиться, чтобы оптимизировать эти функции оповещения на ранней стадии, чтобы потом не испытывать затруднений. Существуют различные события, для которых вам могут потребоваться оповещения, в зависимости от типа используемой системы:

  • Несанкционированные входы в систему
  • Изменения паролей
  • Новые логины
  • Ошибки входа
  • Обнаружение вредоносных программ
  • Атаки вредоносного ПО
  • Атаки отказа в обслуживании
  • Сканирует открытые и закрытые порты, а также ваши брандмауэры
  • Изменения в именах файлов
  • Ошибки, связанные с сетевыми устройствами
  • Экспортированные данные
  • Изменения целостности файлов
  • События общего доступа
  • Останов запущенных процессов или запуск новых процессов
  • Аудит файлов
  • Установка новых сервисов
  • Отключенные события
  • Изменение значений реестра
  • Новые учетные записи пользователей

Это лишь некоторые из многих вещей, о которых вам может понадобиться оповещение. Все зависит от того, какую систему вы используете.

Управляйте журналами более эффективно

Между тем, есть несколько шагов, которые вы можете предпринять, чтобы более эффективно управлять своими журналами, независимо от того, какую систему вы используете:

  • Выясните, как вы хотите создавать свои журналы и когда
  • Храните свои журналы в безопасном месте, чтобы защитить их от хакеров, а также для того, чтобы люди из лучших побуждений не изменили их по ошибке.
  • Ежедневно доверенный сотрудник просматривает журналы.
  • Создайте команду для отслеживания подозрительных предупреждений с помощью вашего инструмента мониторинга журналов.
  • Наличие протоколов для управления генерацией предупреждений; сделайте это правильно с первого раза в соответствии с вашими уникальными обстоятельствами, чтобы у вас не было проблем позже
  • Храните ваши журналы не менее года с момента создания; в любой момент иметь немедленный доступ к журналам за последние три месяца
  • Всегда ищите способы упростить сбор, хранение и анализ журналов.
Источник записи: instantshift.com

Этот веб-сайт использует файлы cookie для улучшения вашего опыта. Мы предполагаем, что вы согласны с этим, но вы можете отказаться, если хотите. Принимаю Подробнее