统一日志分析---证券行业大部分都能做到收集日志,但对于收集上来的日志如何做关联分析?有没有实用性强一些的统一日志分析平台?soc或者siem虽然功能强大,但是在实施落地之后还是和预想的有巨大差距。行业内有没有好的最佳实践供我们学习和参考?
对收集来的数据做到很好的关联分析是很难的一件事情。当然,一些soc或者siem也做了相关工作。 国外厂商,譬如赛门铁克、IBM好像都有Siem产品,国内厂商,天融信也在做SOC。个人感觉,仅日志采集的话,splunk是个不错的产品。
先回答第一个问题
证券行业大部分都能做到收集日志,但对于收集上来的日志如何做关联分析 ?
这里说明我们是如何做的,我们首先是与厂商进行沟通,获取到不同安全设备的日志格式解释类文档,这是保障解析质量最为可靠的方式,由此也可以进行一定的日志解析经验积累。二是在有积累或与设备厂商沟通的基础上,应确保数据解析过程中,解析人员和解析工作的规范性,即解析人员尽可能保持稳定,同时解析结果需要输出解析文档,并由甲方安全管理人员在解析阶段就介入,对解析的结果进行校验,以确保解析的质量。
因为在项目初期,相对于乙方,往往甲方安全管理人员才是最为熟悉自身企业环境情况的人,而对企业环境的了解程度,也影响到数据解析时,事件如何分割、字段需要与否等问题的决策,所以这个过程特别需要甲方的介入。
这里我们推后回答第二个问题,先回答第三个问题: soc或者siem虽然功能强大,但是在实施落地之后还是和预想的有巨大差距。行业内有没有好的最佳实践供我们学习和参考?
首先通过 SOC/SIEM 系统的建设,来完善企业安全建设体系,这些是可以理解的。不过这里有一个矛盾点,那就是对我们企业安全建设系统的认知。
如果我们不能识别我们的环境,不知道我们面临的威胁有哪些,我们就不知道我们安全建设的方向,这样又回到了前面的问题——我们应该去识别我们企业的环境。
风险大家都知道。风险是一个古老的概念,但古老并不意味着过时。我们应该由风险去指导如何建设企业安全体系。主要是识别我们企业的内部环境,由我们企业的内部环境去推导,推导出哪些是我们应该关注的威胁,再由威胁去推导出应该由 SOC/SIEM 去做哪些监控,再由监控去推导出需要有哪些数据源来做分析,再由数据源推导出我们应该去建设哪些防御手段,或者是增强哪些安全措施,主要是这么一个过程。
我们也有做过很多的证劵行业的日志,如果想要了解详细可以与我们的售前与销售联系一下,他们会有更加详细的资料给您参考。
最后回答第二个问题 有没有实用性强一些的统一日志分析平台 ?
其他厂商
这里我们推荐使用日志易
日志易的优势