一顆小胡椒
2
CISM-WSE
CISP-PTS
一顆小胡椒2
CISM-WSE
CISP-PTS
企業日志管理中存在問題的解決方法有以下這些:
將日志從原本的設備和系統中剝離出來:犯罪分子總是針對特定的系統和設備,并將他們的相關操作日志移除,以掩蓋自己的行蹤。如果通過工具將日志從設備和系統中導出,并存儲在一個分開、安全的位置,就能夠確保好人依然能夠看到壞人的所作所為。
在不同位置記錄日志:在網絡的不同位置進行日志記錄非常關鍵。這樣能幫助調查人員理解攻擊者如何潛入,以及他們在網絡中的行蹤,還有他們在初始入侵之后的意圖。”他提到,“這也能幫助發現哪些系統和數據可能在攻擊中淪陷,然后決定是否有其他系統應該進行犯罪調查。”
通過云端防護:但無論是自己保護日志系統,還是在云端,日志備份總是一個好主意,因為攻擊者不總是破壞日志,有時候他們會修改日志,或者通過活動過載等各種方式污染日志內容。
在犯罪數據中加入儲存媒介的圖片:許多犯罪調查是通過瀏覽存儲媒介的圖片,而非瀏覽日志解決的。不時對虛擬機截屏并且保存相關圖片,能對攻擊者的行為帶來非常有價值的情報。
確保多人具備日志分析能力:確保安全團隊的每個人都有內存分析的能力。大部分惡意軟件都不會直接對磁盤進行寫入,而是直接在內存中運行,因此如果沒有適當的技能和實踐會很難進行分析。I
知道哪些日志文件是有幫助的:盡管根據事件的類型,有幫助的文件類別各不相同,但是有一些共性點總是有價值的。所以要能分析出哪些日志是有用的,哪些日志是無用信息這樣既可降低日志分析時間,也可以加快查找攻擊源的速度。
測試日志的有用性:不是所有的日志都是被“平等”地創建的,因此最好檢查一下這些日志到底有什么用,特別是在企業真正需要使用這些日志之前。
推薦文章
