日志管理工具和SIM整合設備安全架構

申請免費試用、咨詢電話：400-8352-114

沒有人懷疑日志文件——所謂的計算系統的黑匣子——可用于各種用途：故障診斷、監(jiān)視合規(guī)遵從性、分析到您的網站的流量。日志文件忠實地記錄發(fā)生在服務器、網絡設備和一些應用程序中的事情。我們面臨的挑戰(zhàn)是如何有效地解開這個信息寶庫（有時是粗糙的）。對于Larry Whiteside來說，被迫尋找正確的日志管理工具。　　

Whiteside是紐約探訪護士服務（VNSNY）的首席信息安全官（CISO）。有效地分析組織的日志文件不僅讓他了解他的計算環(huán)境，而且它也構建了他需要用來在最重要的問題上和他的商業(yè)伙伴有效地溝通的指標。

大約130,000病人的病歷和信用卡數據落入VNSNY的關注中。該組織必須遵守健康保險流通與責任法案（HIPAA）、支付卡行業(yè)數據安全標準和薩班斯-奧克斯利法（Sarbanes-Oxley Act）。

Whiteside說：“歸根結底，他們希望能夠看到我試圖去建立的安全指標意味著什么。無論你是不知道如何使用電子郵件的董事會成員還是超級技術人員，他們理解的一件事是HIPAA標準”。

作為該組織的首任CISO，當Whiteside 于2007年12月抵達VNSNY時，他的首要任務是數據管理。但是，實行數據管理，VNSNY首先必須知道正產生了什么樣的數據、數據去哪兒了以及誰在處理如山般的信息。

作為全國最大的非營利家庭健康護理提供商，VNSNY從4000名具有平板電腦的移動護士收集數據。它有8000個技術賬號、325臺服務器和額外的 3500個終端。從防火墻到桌面，Whiteside想深入洞察系統數據、觀察在網絡上的實時活動記錄，并需要一種關聯這兩個流的一種方法以實現智能化事件關聯圖。

自從Whiteside在安全信息管理廠商netForensics工作以來，作為美國軍隊前任安全專家和日志管理的狂熱愛好者，Whiteside說，他相信他能從VNSNY日志中提取出他想要的東西，只要他有合適的工具。

該組織有來自RSA Security的日志管理工具，但它像一個“笨蛋”一樣傻坐在那兒，沒有配置和監(jiān)測。在Whiteside獲取供應商的幫助未果后，他最終使用一臺來自LogLogic公司的日志管理設備和兩臺來自在賽門鐵克的安全信息管理器（SIM）設備設計他自己的架構。SIM收集和關聯來自不同源的日志文件，以提供幾乎實時的跨IT環(huán)境的活動報告。

Whiteside說：“最具挑戰(zhàn)性的日志是系統級的日志，因為他們能夠以如此眾多的形式出現，因此需要查詢許多字段?！彼枰粋€能夠“在大海里撈針”的日志管理工具。

他說：“我希望能夠在我最健談的部分（應用和系統日志）做到這樣的查詢水平。LogLogic擁有應付系統級事件的最佳查詢引擎。”

在Whiteside的架構中，LogLogic工具收集和標準化系統和應用程序日志文件。其中一臺賽門鐵克的SIM收集和標準化所有基于網絡的日志文件數據——來自防火墻、入侵防御設備、路由器等。第二臺SIM從每臺機器上提取所有標準化的數據并使用Whiteside的團隊指定的規(guī)則關聯這些數據。

由于專用于關聯事件的SIM沒有因事件的收集而陷入困境，他說：“我能夠標準化的規(guī)則數量是極大的。”賽門鐵克SIM還帶有一個威脅識別工具，它將當前的威脅電報給授權接收它們的人。

而且，他補充說，他的混合解決方案被設計用于自管理——不像需要管理位于服務器上的SIM，而像來自行業(yè)領導者ArcSight公司的解決方案（“業(yè)界最直觀的圖形用戶界面，但他們缺乏后端技術”）。

這是一個重要的考慮因素。在VNSNY 179人IT團隊中，Whiteside的份額為3。事實上，他說，他的目標是讓在他的環(huán)境中的每一個應用程序和每一臺服務器通過他的架構進行報告，使用自動關聯規(guī)則?；谒膱F隊搭建的關鍵規(guī)則，該系統將向每一位需要知道何時發(fā)生了什么事兒的人發(fā)送警報。

Whiteside說：“我們還沒有將該架構徹底調整到我們期望的地步，但我 100％肯定它會工作，因為以前我已經做到了?！?/P>

然而，即使部分部署，他的日志管理解決方案已經為內部的 IT和業(yè)務方面帶來了效益。例如，系統發(fā)現一個密碼過期很長時間的帳戶，解決了為什么它不工作的奧秘。作為VNSNY的合規(guī)遵從小組的成員——包含審計頭領、隱私官員和內部律師的小組——Whiteside使用它的日志報告向團隊出示組織需要將它的許多合規(guī)性審計傳遞到哪兒。他說：“報告允許我建立安全指標的基線?！?/P>

Whiteside承認從他的供應商得到了折扣，因為同意與記者交談，拒絕透露系統成本為多少，除了即使沒有折扣價格也足夠低以外，以至于他不必游說為它去花錢。他估計，將需要花費一個全職的人每周4小時去做他的工作日志管理工具要做的工作。

位于加州圣荷西的LogLogic市場營銷和戰(zhàn)略執(zhí)行副總裁Dominique Levin說，用于自動化日志管理解決方案的業(yè)務案例幾乎使它本身作為由公司計算系統產生的數據容量擴展到超現實維度。（VNSNY使用LogLogic的MX設備，該設備針對中端市場進行了裁剪，價格為45,000美元。）

她說：“在LogLogic到達現場以前，大約80％的公司正在做日志管理的工作。他們使用Unix平臺和腳本，然后他們遇到了困難?！?/P>

她說，受管制的環(huán)境強調一切需要留在頂部。許多安全和法規(guī)遵從授權是指機器語言必須翻譯成“我們可以理解的內容。”

日志管理工具和SIM整合設備形成安全架構