Системні журнали, які генеруються серверами та мережевими пристроями, створюють дані в мега кількостях, однак зусилля щодо систематизації цієї інформації без потрібних прийомів – не життєздатні.
Потрібно розробити індивідуальні стратегії, щоб забезпечити візуалізацію всіх ІТ систем, розгорнутих на окремому підприємстві.
Photo by MashiroMomo on Pixabay
Підписуйтесь на нас у Facebook, Telegram, Twitter чи Instagram, щоб бути у тренді!
Керування журналом
Управління по суті – це процес створення, зберігання, обміну та аналізу даних журналу комп’ютерної безпеки, і навіть видалення окремих масивів даних.
Це може бути замаскована вузькопрофільна система аналітики. Наприклад, щоденні дані щодо грошових операцій можна переглядати в комплексі по підприємству, а не в окремих сегментах підрозділів.
Така видимість загальних корпоративних векторів означає своєчасну поінформованість про дії режимі реального часу.
І враховуючи, що стандартною операційною процедурою для кіберзлочинців є заплутування під час вторгнення та знищення журналів, наявність централізованих бекапів таких транзакцій гарантує, що інформація збережеться за будь-якого сценарію.
Також варто зазначити, що маршрутизатори мають обмежені електронні буфери, які зарезервовані для операцій з реєстрації подій. Якщо буфери заповнені, старі записи зтираються, щоб записати нові події.
Зберігаючи журнали до централізованих блоків, системний адміністратор отримує доступ до даних у тимчасових коридорах, які дають повну картину всієї історії.
Для бізнесів, яким необхідно дотримуватися юридичних та законодавчо обумовлених зобов’язань – своєчасно побудовані системи управління журналами підвищать легітимність та ефективність у разі збоїв.
Вибір системи
Існує два основних класи систем управління:
- Базовий збирач логів – системи без зайвих опцій для звичайного збору та консолідації з різних джерел.
- SIEM – аналізатор даних для отримання важливої інформації, служба агрегації, багатовимірна кореляція, оповіщення. Користувачі бачать скільки подій сталося. Кореляція тут є складним аналізом, який зіставляє категорії подій, щоб отримати дані високого рівня. А оповіщення дають адміністраторам можливість налаштувати тригери, які повідомляють відповідальні про аномальну діяльність.
Читання
Багато форматів журналів призначені для читання людиною, інші лише для машинного аналізу.
SNMP Netflow – це журнали високоструктурованих даних, які читаються ПЗ.
Системні журнали, які генеруються UNIX-серверами або Windows – читаються людиною.
Системні журнали мають базові поля, які передають метадані: категорія, пріоритетність та тимчасова позначка події.
І виходячи з того, які ви ставите цілі для автоматизації, слід ретельно проаналізувати той чи інший продукт для керування журналами у вашій компанії.
Завершальним етапом розгортання стають політики, які визначають, що записувати до журналу, як і наскільки довго все має зберігатися.
Зрозуміло, що дуже важливо, щоб бекапи вихідних журналів зберігалися в незмінному стані, принаймні вони мають експортуватись у стандартизований формат без втрати.
Політики також повинні включати ротацію, процедуру архівування та тестування для забезпечення гарантій безпеки даних.
У нас ви отримаєте надійний і захищений хостинг, гарний домен та SSL-сертифікат для свого бізнесу.