机器数据的价值,服务器安全审计

www.402.com

除了最小型的企业外,所有组织都有针对服务器的某些等级的安全审计。不管它收集的信息关于失败登录次数、安全文件访问、文件删除、活动目录修改或是其它,事实是我们大部分人需要获取一定量的信息。

计算机数据

在TechEd
2011上,我发起了一次有关审计的小组讨论,这次讨论弄清楚了一件事:Windows的本地安全审计明确地有些安全问题。某位先生的故事可以代表每个人的经历:

www.402.com,大量的数据流,不断增长的来源,蕴含着巨大的价值


Splunk,我们大量谈及计算机数据。
这些数据是指在数据中心、“物联网”和互联设备世界中运行的所有系统产生的数据。其中包括支撑组织的应用程序、服务器、网络设备、安全设备和远程基础结构所产生的全部数据。

计算机数据包含明确的记录,其中涉及您的客户、用户、交易、应用程序、服务器、网络、工厂机器等的所有活动和行为。它不仅仅包含日志,还包括配置数据、API
和消息队列数据、更改事件、诊断命令输出和呼叫详细记录、远程设备传感器数据等等。

Splunk
软件用户知道有成千上万种不同的计算机数据格式。
以有意义的方式来分析这些数据,对于诊断服务问题、检测复杂的安全威胁、了解远程设备的健康状况以及展示合规性至关重要。

以下是一些最重要的计算机数据源,以及它们的具体内容。记住,这个列表仅仅是起点。每个环境都有其独特的计算机数据空间。哪里会是您尚未涉足的计算机数据机会?


 

 

管理方面要求我提供一些关于失败登录、成功登录等事情的细节。我告诉他们,我们目前没有收集这些信息,他们命令我们要去做这件事。我启用了必要的审计,又尽快地几乎将它们全关了。我们的域控制器根本不能处理额外的负载。

应用程序日志

大多数内部开发和打包的应用程序通常通过日志框架(如 log4j 或
log4net)、应用程序服务器(如 WebLogic、WebSphere 和
JBoss)内置的日志服务或 .Net、PHP
等来写入本地日志文件。这些文件对开发人员和应用程序支持人员日常调试生产应用程序至关重要。它们通常还是报告业务和用户活动以及发现欺诈情况的最佳方法,因为其中包含所有交易细节。如果开发人员将计时信息写入日志事件,它们还可以用来监视并报告应用程序性能。

审计导致性能损失的事实最初让很多管理员感到惊讶,因为这不完全是直觉。毕竟,域控制器已经在执行工作,为什么仅仅对它做个标注会这么难呢?它确实很难:有人表示,审计在他的公司是放在容量规划里的工作。他估计他的团队拥有的域控制器是处理登录流量所需域控制器的两倍,因为它已经开启了几乎每一个可能的审计选项。

业务流程日志

复杂事件处理和业务流程管理系统日志是业务和 IT
相关数据的宝库。这些日志通常包含多种不同渠道(如
Web、IVR/联络中心或零售)中客户活动的明确记录。它们可能包含客户购买记录、帐户变化和故障报告。计算机数据与应用程序、CDR
和 Web 日志相结合,可用于实现全面的业务活动监视。

对文件服务器而言,拒绝访问文件的请求是一件事,而打开事件日志并将事实标注出来又是完全不同的操作。虽然Windows的本地事件日志架构是roburst,它并不是免费的。它需要计算力,它可以耗尽一台服务器的所有性能。这也是审计几乎总是在性能和知识间平衡的原因。发生越多的审计,这台服务器最终处理的用户工作负载就越少,因为它在审计工作负载上花的时间更多。一些组织只部署更多的计算资源来处理这些工作负载,其它企业为了保持服务器在理想的性能级别运行,不得不将审计量调整回去。

呼叫详细记录

呼叫详细记录
(CDR)、计费数据记录、事件数据记录都是电信和网络交换机所记录事件的名称。CDR
包含经过交换机的呼叫或服务的有用详细信息,如发起呼叫的电话号码、接收呼叫的电话号码、呼叫时间、呼叫时长、呼叫类型等。随着通信服务转移到基于
Internet 协议的服务,这些数据也被称为 IPDR,其中包含诸如 IP
地址、端口号等详细信息。这些文件的规格、格式和结构差别很大,要跟上所有这些序列向来都颇具挑战性。然而,它们包含的数据对于计费、收入保证、客户保证、合作伙伴结算、营销情报等极为重要。Splunk
软件可以快速地为这些数据建立索引,并将它们与其他业务数据相结合,以使用户能够从这些丰富的使用信息中获得新的深入见解。

第三方审计解决方案有时候比本地事件日志架构处理更高等级的审计。它们通过结合三种基本技术来完成这一任务:

点击流数据

在点击流数据中捕获用户在 Internet
上的活动。这可以提供有关用户的网站和网页活动的深入见解。这些信息对于可用性分析、营销和一般性研究非常有价值。这些数据的格式是非标准的,而且操作可能在多个位置中记录,如
Web
服务器、路由器、代理服务器、广告服务器等。现有监视工具仅查看来自特定来源的部分数据视图。现有的网站分析和数据仓库产品通常仅对数据采样,缺少完整的行为视图,并且不提供实时分析。

安装在服务器上的代理可以直接接入Windows的应用程序接口API),而不是等待事件写入到事件日志中。这些代理节省了事件日志的日常开支,因为本地审计可以关闭。直接从API流量中获取数据通常花费也更少。

配置文件

要了解基础结构的设置情况,实际、有效的系统配置具有不可替代的作用。当调试过去发生过且将来可能再次发生的故障时,需要用到过去的配置。当配置发生改变时,需要知道更改内容和时间、更改是否经过授权,以及是否有成功的攻击者在系统中植入后门、时间炸弹或其他潜在威胁。

审计数据可以“慵懒写入”,这意味着它可以在较段时间内排队等候日志。这通常不是很长的一段时间,但它确实允许审计占用次要位置来处理用户工作负载。

数据库审计日志和表

数据库包含一些最敏感的公司数据,如客户记录、财务数据、患者病历等。要弄清谁在何时访问或更改了哪些数据,获得所有数据库查询的审计记录非常重要。数据库审计日志还有助于弄清应用程序对数据库的使用方式以优化查询。某些数据库采用审计记录日志文件,而另一些数据库则是维护审计表,并可通过
SQL 进行访问。

事件通常传输到中央数据库用于从服务器上实际地编写、移除多一点的工作负载,因为该服务器不需要维持实际的日志。

文件系统审计日志

有些敏感数据不在数据库中,而在文件系统中。在诸如医疗保健等行业中,最大的数据泄露风险是位于共享文件系统中的消费者记录。不同的操作系统、第三方工具和存储技术在文件系统级别上提供了不同的敏感数据读取访问审计选项。这些审计数据是监视和调查敏感数据访问的重要数据源。

管理员可能不得不做一些基于实验室的实验来精确地查看服务器环境中创建什么级别的性能会影响所选的审计配置。选择审计方法的核心信息是:你不能拥有全部。管理需要理解,获取每一点可能的信息都会产生性能影响,公司需要愿意为这些影响付出额外的服务器、更大的服务器或降低性能的代价。

管理和日志 API

许多供应商越来越多地通过标准化和专有
API(而不是记录到文件)来显示重要管理数据和记录事件。Checkpoint
防火墙通过 OPSEC Log Export API (OPSEC LEA) 来记录日志。诸如 VMware 和
Citrix 等虚拟化供应商通过自有 API 来显示配置、日志和系统状态。

消息队列

消息队列技术(如 JMS、RabbitMQ 和
AquaLogic)用于在基于发布/订阅模式的服务和应用程序组件之间传输数据和任务。订阅这些消息队列是在复杂的应用程序中调试问题的好方法,因为您可以清楚地看到链中下一个组件从前一个组件接收到的内容。另外,消息队列越来越多地被用作应用程序日志架构的骨干。

操作系统指标、状态和诊断命令

操作系统可以通过命令行实用工具(例如 Unix 和 Linux 上的 ps 与
iostat,以及 Windows 上的性能监视器)来显示如 CPU
和内存利用率等关键指标和状态信息。这些数据通常被服务器监视工具利用,但很少存储,尽管它们对于故障排除、分析趋势以发现潜在问题和调查安全事故可能很有价值。

数据包/流量数据

由网络生成的数据使用诸如 tcpdump 和 tcpflow 等工具进行处理,以生成 pcap
或流量数据以及其他有用的数据包级和会话级信息。这些信息对于处理那些表明网络可能受到威胁或成为远程攻击对象的性能降级、超时、瓶颈问题或可疑活动等是必需的。

SCADA 数据

监视控制与数据采集 (SCADA) 是一种工业控制系统
(ICS),它们从诸如能源、交通、石油和天然气、供水和废物控制等行业的设备中收集并分析实时数据。这些系统生成有关组件状态、运行、使用和通信等的大量数据。这些数据可以用来确定
SCADA
基础结构中的趋势、模式和异常情况,并用于产生客户价值。例如,捕获智能电网电表数据可以使客户能够通过工具、程序和服务更好地了解其用电情况,以有针对性地帮助他们节能、省钱和减少对环境的影响。

传感器数据

不断扩大的传感器设备网络生成基于监测环境条件(如温度、声音、压力、功率、水位等)的数据。通过收集、汇总和分析这些数据并采取相应行动,将产生广泛的实际用途,其示例包括:水位监测、机器运行状态监测和智能家居监控。

Syslog

来自您的路由器、交换机和网络设备的 Syslog
记录了网络连接状态、关键网络组件故障、性能和安全威胁。它是计算机数据日志记录的标准。接触这些数据意味着进入广泛的各类设备以执行故障排除、分析、安全审计。

Web 访问日志

Web 访问日志报告 Web 服务器处理的每个请求 — 客户端 IP、请求的
URL、引用的
URL,以及有关请求成功与否的数据。它们最常被处理用来生成营销相关的网站分析报告,如每日访客计数、请求最多的网页等。还可以定制以包括诸如会话
ID 或自定义 HTTP 标头等内容。

它们的重要性还体现在可作为调查用户报告问题的起点,因为失败的请求日志能够确定准确的出错时间。Web
日志相当标准化且结构合理。唯一的挑战是其巨大的数量,繁忙的网站每天通常会经历数十亿次的点击量。

Web 代理日志

几乎所有为其员工、客户或访客提供 Web
访问的企业、服务提供商、机构和政府组织都会使用某种类型的 Web
代理来控制和监视访问情况。Web 代理记录用户通过代理发出的每个 Web
请求。其中可能包含公司用户名和点击的
URL。这些日志对于监视和调查“服务条款”滥用或公司网站使用政策至关重要,并且也是有效监视和调查数据泄露的重要组成部分。

Windows 事件

Windows 存储了有关 IT
环境、使用模式和安全状况的丰富信息。所有信息都存储在 Windows
事件日志应用程序、安全和系统上。这些日志对于了解组织的健康状况至关重要,并且可以帮助检测业务关键型应用程序、安全信息和使用模式相关问题。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图