日志标准化的分类

引言

在企业内承担整体安全分析的产品一般是SIEM类产品，这类产品主要的作用是收集网络中所有的安全日志并进行分析。在《运维必看：日志标准化必须面对的4类问题》中介绍了日志标准化的一些原则和方法。有了原则和方法后就需要做更细致的分析。在细致分析中，对日志进行标记统一的类别就非常重要。使用分类法创建日志分类的好处主要有：

• 厂商独立性，不同设备对同一个事物的描述往往不一样，通过统一的分类来屏蔽不同厂商的差异。

• 分析人员不需要记住环境中所有设备的特定名称，只需要了解分类名称就好。对其他分析更容易、更有效（比如告警规则、数据监视、报告等）。

• 内容是通用的(比如有新的IDS，所有规则都可以利用)。

• 可以编写更强大的内容（例如，结果内容可以统一解释为“失败”和“成功”，而不是依赖设备上的描述）。

本文主要对几个主流品牌产品的日志分类进行介绍。

一、ArcSight

ArcSight是一个非常成功的产品，多年在Garthner SIEM魔力象限中进入领导者象限，只是最近今年稍微有些没落。而且国内很多的SIEM高手，都是从学习掌握ArcSight开始的。所以在此优先介绍他们的分类方法。

1.技术概览技术概览

ArcSight分类法使用六个维度（即字段）来描述事件，这意味着所有事件都会添加这六个独立属性。以下是对这些维度的描述：

• 对象：事件总是关于某个对象的。例如，对象可以是应用程序、操作系统、数据库、文件或服务器内存。重要的是要认识到，我们指的是目标对象。它不是关于谁在做某事，而是什么是被访问、更改的对象。

• 行为：事件不仅指某些对象，而且通常有与事件相关的动作或行为。对对象做了什么？行为包括访问、执行或修改等。

• 结果：通过前两个维度，我们知道什么对象被引用，什么动作针对对象。然而，我们不知道这种行为是否成功。因此，结果是成功、失败或尝试。“尝试”表明，某件事既不是成功也不是失败，结果不清楚，或者没有关于结果的陈述。

• 技术：通常在安全上下文中，我们希望获得有关安全域的事件类型的信息。安全事件类型包括拒绝服务、暴力攻击、IDS绕行、漏洞利用等。使用所有这些信息，我们现在可以向系统发出查询，例如ÿ