Eventlog Analyzer应用场景

下面分别对以下场景进行说明。

1. 集中收集日志

从异构数据源收集日志数据--- Windows,Unix，Linux及其他系统；应用程序、数据库、路由器、交换机、防火墙等；– 对于IT安全管理人员来说，对日志管理的安全防护是一项艰巨的任务。任何一家企业也不会愿意使用多种日志管理工具收集和分析来自数量众多的设备、系统和应用程序不同格式的日志。

ELA可以从任何来源解读任何格式的日志并进行集中收集管理。使IT安全管理人员能够全面地查看网络上发生的所有活动，从而及时地促进有效的安全策略。

2. 日志取证调查

所有网络问题在日志数据中都可以找到答案。所有的***者都会留下痕迹，而你的日志数据是唯一能帮助你识别漏洞的原因，甚至告诉你是谁发起了***。此外，日志数据取证分析报表可以用作法庭证据。手动搜索日志来查找网络问题的根本原因，或者在事件中发现规律，就像大海捞针一般。

使用ELA就能得到所有问题的答案。ELA的搜索功能可以帮助管理员进行调查，这样可以帮助他们快速找到和修复网络问题和异常行为。日志搜索功能可以让IT安全管理人员在整个网络基础架构中进行搜索。

3. 主动应对安全威胁

为了解除复杂的网络***，IT安全管理人员必须对网络基础架构的日志数据进行实时关联。日志数据关联功能可以让IT安全管理人员在多个日志源同时处理数百万个事件，以增强网络安全性，在***或破坏发生之前，主动检测网络上的异常事件。实时事件关联主动应对威胁。为了防止安全威胁，IT安全管理人员依靠日志相关工具来加速对网络事件的监控和分析。

ELA的日志相关×××, 让IT安全管理人员能够快速跟踪可疑的网络行为。主动检测并提供关于漏洞、网络用户活动、策略违规、网络异常、系统停机时间和网络安全威胁的实时告警。

4.跟踪用户活动

当您最信任的员工和用户有权限访问业务关键的应用程序、设备、系统和文件时，会有意无意地引发盗取数据、中断或系统崩溃。IT安全管理人员，必须通过监视日志数据实时跟踪整个IT基础架构中的所有用户活动。日志数据包含关键网络资源上发生的所有活动完整的审计跟踪。

ELA可以让IT安全管理人员掌握所有用户的实时活动，找到关于“谁、什么、哪里和如何”的答案。

5.数据归档和保证日志数据安全

日志归档是所有企业满足合规性要求所必须完成的任务。日志归档依赖于企业所需遵守的政策和合规性法则。日志归档周期根据合规性审计的不同而有所不同。例如，PCI DSS 要求存档一年，HIPAA 要求存档七年，而FISMA要求存档三年。日志归档的另一个原因是日志取证调查，如习惯之4中所述。

ELA可以确保您的归档日志数据不被更改，以保证其真实性。能够对日志数据进行加密，并通过哈希算法和时间戳防止日志被篡改，以便将来进行取证分析，合规性或内部审计。

6. 满足合规性的要求

萨班斯法案是一部涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律。由于该法案在颁布时没有提出具体的适用豁免条件，这就意味着目前所有在美国上市的公司，包括在美国注册的上市公司和在外国注册而于美国上市的公司，都必须遵守该法案。因此，那些准备赴美上市的公司，符合萨班斯法案的合规性要求，是其不可缺少的条件之一。

萨班斯法案的重要条款：302和404条款，尽管直接规定的都是企业管理层对财务内控方面的要求，但是，由于在当前环境下，IT系统驱动着财务报告流程。诸如ERP之类的IT系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。IT系统和整个财务报告流程已是密不可分的整体，因此，为了遵循萨班斯法案，也要对IT内部控制的有效性予以评估。

ELA通过收集所有服务器、Syslog设备、关键应用的日志，可以侦测未授权访问尝试、策略违反情况、鉴别用户、服务器等的活动趋势、识别网络中可能存在的风险。它在实时关联分析所收集的日志的基础上，为您提供多种有用的报表，可满足企业合规性方面的要求。

具体而言：

用户登录报表：满足萨班斯法案的302(a)(4)(C) (D) 登录及退出监视的要求。

用户退出报表：满足萨班斯法案的302(a)(4)(C) (D) 登录及退出监视的要求。

登录失败报表：满足萨班斯法案要求记录未成功登录信息的要求。

对象访问报表：可以鉴别哪些对象（文件、目录）被访问、访问类型（读、写、删除）、是否访问成功、及谁执行了该动作。

系统事件报表：用于记录本地系统所发生的事件、如：系统重启、关机、更改系统事件、清除审核日志等。

账户变更报表：满足萨班斯法案302 (a)(6)的要求，追踪账户的变更（添加、删除、权限变更等）。

策略变更报表：满足萨班斯法案302 (a)(5)的要求，追踪审核策略的变更，满足内控目标的要求。

...

ELA处理提供萨班斯法案的合规性报表之外，默认还提供PCI DSS, FISMA, ISO 27001, HIPAA, 及GLBA合规性报表。

7. 监控敏感信息

也许您看过每年3.15晚会揭露的，客户重要信息被不法人员盗用、获利的消息。这也从侧面反映出我国目前在IT信息安全化管理方面还有很多工作需要改进。

每个企业或组织，都会有自己敏感的数据存放在服务器上，如果没有合适的监控措施，要确保信息的安全，确保数据不被盗用（非法访问）是不可能的。

某公司在部署ELA之后，除了收集企业的服务器及关键应用的日志之外，还应用ELA提供的文件完整性监控的功能，监控企业内部服务器上的关键数据。

ELA首先对要监视的文件及文件夹进行全面扫描，获取所有文件的大小、内容、属性、权限、所有者等信息，并以此为基线，对文件进行监控。

ELA可以在发现文件或文件夹有变更时，及时告警。同时，ELA可以全面追踪要监视的文件和文件夹所发生的所有变更（如：文件或文件夹被创建、访问、查看、修改、重命名），让管理人员了解谁、什么时间、从哪里、访问/修改了什么文件。它提供的报表，可以帮助管理员及时了解被监视文件的情况。

当然，您不能希望通过ELA去阻止不法人员的不法行为，但是，正如停车场里安装的摄像头一样，它会对不法人员起到一定的威慑作用。同时为今后取证分析保留有用的数据。

8. 满足日志管理的需求

某公司需要将分步在不同服务器上日志进行集中管理，在部署ELA之前，通过管理员编写的脚本完成日志文件的复制、整理及归档。尽管也在一定程度上实现了管理需求，但是由于无法实现实时关联分析、告警、无法生成有用的报表。因此决定部署ELA。

通过ELA，管理员配置了告警条件、制定了备份策略、报表计划，ELA就可以自动收集所有服务器及企业关键应用的日志，并在符合告警条件的情况下及时告警。而且ELA可以自动将有用的报表发送给管理人员，大大地节省了管理员的时间，可以让管理员将精力投放到更需要关注的问题上去。

而且，ELA可以实现归档日志的加密存储，使得日志数据更加安全、可靠，当需要日志取证时，可以加载已归档的日志，生成需要的报表。

转载于:https://blog.51cto.com/andyboge/2318202