日誌管理的要點

為了能有效的利用來自伺服器、網路設備及應用程式等各種來源的日誌資訊,日誌的收集、分析歸類並將其集中儲存是不可或缺的,完善的日誌管理能更輕鬆的存取所需資訊。企業透過部署日誌管理架構以處理大量且複雜的日誌資訊,IT 部門可將這些訊息用於容量管理、故障排除、合規性記錄、支援威脅檢測等目的。

One Identity Syslog-ng 高效能日誌管理解決方案 -「syslog-ng™ Store Box(SSB)」,是一款高效能且高可靠性的日誌管理設備。您可利用 SSB 收集和索引日誌資料、執行複雜的搜尋、以分級存取政策確保敏感資訊安全、產出報表以證明遵循資料法規、將日誌資料轉傳至第三方分析工具。One Identity syslog-ng™ Store Box 提供多種平台的安裝版本,且以前所未見的速度,持續每秒收集和索引多達 100,000 訊息。

藉由日誌管理解決的挑戰

◆取證:如今的 IT 環境中,安全漏洞的發生只是時間問題,IT 組織需要的是能快速針對內/外部威脅做出反應。不論是 DoS 攻擊、敏感資料被竊、受到釣魚詐騙,日誌資訊對於原因的判別是關鍵點,而在還不確定原因之前,則需要全面性的收集日誌資訊。當企業的網路應用程式遭受到攻擊時,系統管理員第一時間尋找攻擊線索的地方就是各種網路設備和應用程式的日誌資訊,若日誌遺失或不集中,則查找將會是一項費時的工作,若日誌未集中安全的存放,則可能被攻擊者刪除或修改。

◆合規性:隨著法規和行業標準逐漸提高安全意識來保護敏感資料,IT 人員耗費較以往多的資源在確保合規性,而根據企業類型和地點,所適用的法規也不盡相同,IT 人員面臨的挑戰是該如何以最有效率的方式滿足眾多法規要求。

◆支援 SIEM(Security Information and Event Management):日誌管理是 SIEM 系統的基本要素,若能確保日誌資訊安全且可靠的從來源端傳輸到中央日誌伺服器,SIEM 系統的關聯事件分析將能成功降低潛在資安威脅。

各產業的日誌管理挑戰

◆電信業

電信業者依賴 IT 網路操作他們的業務,智能裝置、雲端服務的使用率增長也帶來了更多的營運安全挑戰。電信公司需要管理由多種設備和應用程式組成的複雜物聯網,收集來自路由器、語音交換器、網路伺服器及資安應用程式生成的大量日誌資訊,並透過收集的日誌找到檢測和解決網路中斷,並處理安全威脅的關鍵資訊。如同許多企業,電信公司也擁有且管控著大量敏感資料的存取,包含客戶個資、員工記錄、公司財務資訊等。

◆金融業

金融業的 IT 網路是營運核心,金融機構往往也被賦予高標準的規範審查,它們必須安全的為客戶提供服務,交易處理、網銀等都是其 IT 部門需要維護的應用程式。網路中斷代表業務受影響,因此如何避免停機甚至於減少維修時間都是重點。金融企業也花費了大量時間和成本來符合各種法規要求,為保護免受內/外部威脅,必須嚴格控管和記錄對敏感資料的存取、監視網路並檢測可疑事件、確保重要通訊的安全性。管理來自伺服器、網路設備、應用程式等日誌資訊,其中也包含可保護網路免受安全威脅的日誌記錄。

◆醫療產業

醫院、診所、健保服務業者也廣泛的使用 IT 系統來管理各種資料(如:電子病歷、帳單、保險理賠申請、醫療處方等),資料量的暴增讓 IT 部門需要投入更多的成本來支援伺服器和網路設備,在保護敏感資料的同時管理這些複雜的 IT 環境。醫療機構的分散式網路包含了大量的伺服器和客戶端,這些設備和應用程式都會產生許多有關IT網路的日誌資訊。隨著資料逐漸轉為電子化,為了保護病患個資及其他隱私資訊,各種法規也紛紛訂定並被要求遵守。

◆高等教育機構

學校系統通常擁有成千上萬的用戶資訊,甚至於這些帳號具有不同程度的網路存取權限。以大學為例,IT 部門可部署多種類型設備和應用程式來滿足學生、教職員工、管理員等的需求。雖然各個學術單位的 IT 需求不同,但學校的IT部門必須要能在確保可靠性操作和保護敏感資訊的同時,整合網路的各個組成元件,此外也需要遵守各種法規。

無論是想增強安全性、改善營運、符合合規性目標,日誌資訊都包含有價值的訊息內容。有效率的日誌管理解決方案需要能集中、安全可靠、可擴展,集中化管理能避免資料孤島問題,達到充分利用資料,而限制日誌的存取權限,可保護敏感資訊,可擴展性能增加日誌源或資料流量。日誌管理是一個持續的過程,必須隨時調整,以便因應瞬息萬變的IT環境和威脅漏洞。

文章來源:https://www.syslog-ng.com/whitepaper/log-management-essentials8132340/