日志管理工具和SIM整合設(shè)備安全架構(gòu)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

沒(méi)有人懷疑日志文件——所謂的計(jì)算系統(tǒng)的黑匣子——可用于各種用途：故障診斷、監(jiān)視合規(guī)遵從性、分析到您的網(wǎng)站的流量。日志文件忠實(shí)地記錄發(fā)生在服務(wù)器、網(wǎng)絡(luò)設(shè)備和一些應(yīng)用程序中的事情。我們面臨的挑戰(zhàn)是如何有效地解開(kāi)這個(gè)信息寶庫(kù)（有時(shí)是粗糙的）。對(duì)于Larry Whiteside來(lái)說(shuō)，被迫尋找正確的日志管理工具?！　?/P>

Whiteside是紐約探訪護(hù)士服務(wù)（VNSNY）的首席信息安全官（CISO）。有效地分析組織的日志文件不僅讓他了解他的計(jì)算環(huán)境，而且它也構(gòu)建了他需要用來(lái)在最重要的問(wèn)題上和他的商業(yè)伙伴有效地溝通的指標(biāo)。

大約130,000病人的病歷和信用卡數(shù)據(jù)落入VNSNY的關(guān)注中。該組織必須遵守健康保險(xiǎn)流通與責(zé)任法案（HIPAA）、支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)和薩班斯-奧克斯利法（Sarbanes-Oxley Act）。

Whiteside說(shuō)：“歸根結(jié)底，他們希望能夠看到我試圖去建立的安全指標(biāo)意味著什么。無(wú)論你是不知道如何使用電子郵件的董事會(huì)成員還是超級(jí)技術(shù)人員，他們理解的一件事是HIPAA標(biāo)準(zhǔn)”。

作為該組織的首任CISO，當(dāng)Whiteside 于2007年12月抵達(dá)VNSNY時(shí)，他的首要任務(wù)是數(shù)據(jù)管理。但是，實(shí)行數(shù)據(jù)管理，VNSNY首先必須知道正產(chǎn)生了什么樣的數(shù)據(jù)、數(shù)據(jù)去哪兒了以及誰(shuí)在處理如山般的信息。

作為全國(guó)最大的非營(yíng)利家庭健康護(hù)理提供商，VNSNY從4000名具有平板電腦的移動(dòng)護(hù)士收集數(shù)據(jù)。它有8000個(gè)技術(shù)賬號(hào)、325臺(tái)服務(wù)器和額外的 3500個(gè)終端。從防火墻到桌面，Whiteside想深入洞察系統(tǒng)數(shù)據(jù)、觀察在網(wǎng)絡(luò)上的實(shí)時(shí)活動(dòng)記錄，并需要一種關(guān)聯(lián)這兩個(gè)流的一種方法以實(shí)現(xiàn)智能化事件關(guān)聯(lián)圖。

自從Whiteside在安全信息管理廠商netForensics工作以來(lái)，作為美國(guó)軍隊(duì)前任安全專家和日志管理的狂熱愛(ài)好者，Whiteside說(shuō)，他相信他能從VNSNY日志中提取出他想要的東西，只要他有合適的工具。

該組織有來(lái)自RSA Security的日志管理工具，但它像一個(gè)“笨蛋”一樣傻坐在那兒，沒(méi)有配置和監(jiān)測(cè)。在Whiteside獲取供應(yīng)商的幫助未果后，他最終使用一臺(tái)來(lái)自LogLogic公司的日志管理設(shè)備和兩臺(tái)來(lái)自在賽門(mén)鐵克的安全信息管理器（SIM）設(shè)備設(shè)計(jì)他自己的架構(gòu)。SIM收集和關(guān)聯(lián)來(lái)自不同源的日志文件，以提供幾乎實(shí)時(shí)的跨IT環(huán)境的活動(dòng)報(bào)告。

Whiteside說(shuō)：“最具挑戰(zhàn)性的日志是系統(tǒng)級(jí)的日志，因?yàn)樗麄兡軌蛞匀绱吮姸嗟男问匠霈F(xiàn)，因此需要查詢?cè)S多字段?！彼枰粋€(gè)能夠“在大海里撈針”的日志管理工具。

他說(shuō)：“我希望能夠在我最健談的部分（應(yīng)用和系統(tǒng)日志）做到這樣的查詢水平。LogLogic擁有應(yīng)付系統(tǒng)級(jí)事件的最佳查詢引擎?！?/P>

在Whiteside的架構(gòu)中，LogLogic工具收集和標(biāo)準(zhǔn)化系統(tǒng)和應(yīng)用程序日志文件。其中一臺(tái)賽門(mén)鐵克的SIM收集和標(biāo)準(zhǔn)化所有基于網(wǎng)絡(luò)的日志文件數(shù)據(jù)——來(lái)自防火墻、入侵防御設(shè)備、路由器等。第二臺(tái)SIM從每臺(tái)機(jī)器上提取所有標(biāo)準(zhǔn)化的數(shù)據(jù)并使用Whiteside的團(tuán)隊(duì)指定的規(guī)則關(guān)聯(lián)這些數(shù)據(jù)。

由于專用于關(guān)聯(lián)事件的SIM沒(méi)有因事件的收集而陷入困境，他說(shuō)：“我能夠標(biāo)準(zhǔn)化的規(guī)則數(shù)量是極大的。”賽門(mén)鐵克SIM還帶有一個(gè)威脅識(shí)別工具，它將當(dāng)前的威脅電報(bào)給授權(quán)接收它們的人。

而且，他補(bǔ)充說(shuō)，他的混合解決方案被設(shè)計(jì)用于自管理——不像需要管理位于服務(wù)器上的SIM，而像來(lái)自行業(yè)領(lǐng)導(dǎo)者ArcSight公司的解決方案（“業(yè)界最直觀的圖形用戶界面，但他們?nèi)狈蠖思夹g(shù)”）。

這是一個(gè)重要的考慮因素。在VNSNY 179人IT團(tuán)隊(duì)中，Whiteside的份額為3。事實(shí)上，他說(shuō)，他的目標(biāo)是讓在他的環(huán)境中的每一個(gè)應(yīng)用程序和每一臺(tái)服務(wù)器通過(guò)他的架構(gòu)進(jìn)行報(bào)告，使用自動(dòng)關(guān)聯(lián)規(guī)則?；谒膱F(tuán)隊(duì)搭建的關(guān)鍵規(guī)則，該系統(tǒng)將向每一位需要知道何時(shí)發(fā)生了什么事兒的人發(fā)送警報(bào)。

Whiteside說(shuō)：“我們還沒(méi)有將該架構(gòu)徹底調(diào)整到我們期望的地步，但我 100％肯定它會(huì)工作，因?yàn)橐郧拔乙呀?jīng)做到了?！?/P>

然而，即使部分部署，他的日志管理解決方案已經(jīng)為內(nèi)部的 IT和業(yè)務(wù)方面帶來(lái)了效益。例如，系統(tǒng)發(fā)現(xiàn)一個(gè)密碼過(guò)期很長(zhǎng)時(shí)間的帳戶，解決了為什么它不工作的奧秘。作為VNSNY的合規(guī)遵從小組的成員——包含審計(jì)頭領(lǐng)、隱私官員和內(nèi)部律師的小組——Whiteside使用它的日志報(bào)告向團(tuán)隊(duì)出示組織需要將它的許多合規(guī)性審計(jì)傳遞到哪兒。他說(shuō)：“報(bào)告允許我建立安全指標(biāo)的基線?！?/P>

Whiteside承認(rèn)從他的供應(yīng)商得到了折扣，因?yàn)橥馀c記者交談，拒絕透露系統(tǒng)成本為多少，除了即使沒(méi)有折扣價(jià)格也足夠低以外，以至于他不必游說(shuō)為它去花錢(qián)。他估計(jì)，將需要花費(fèi)一個(gè)全職的人每周4小時(shí)去做他的工作日志管理工具要做的工作。

位于加州圣荷西的LogLogic市場(chǎng)營(yíng)銷和戰(zhàn)略執(zhí)行副總裁Dominique Levin說(shuō)，用于自動(dòng)化日志管理解決方案的業(yè)務(wù)案例幾乎使它本身作為由公司計(jì)算系統(tǒng)產(chǎn)生的數(shù)據(jù)容量擴(kuò)展到超現(xiàn)實(shí)維度。（VNSNY使用LogLogic的MX設(shè)備，該設(shè)備針對(duì)中端市場(chǎng)進(jìn)行了裁剪，價(jià)格為45,000美元。）

她說(shuō)：“在LogLogic到達(dá)現(xiàn)場(chǎng)以前，大約80％的公司正在做日志管理的工作。他們使用Unix平臺(tái)和腳本，然后他們遇到了困難?！?/P>

她說(shuō)，受管制的環(huán)境強(qiáng)調(diào)一切需要留在頂部。許多安全和法規(guī)遵從授權(quán)是指機(jī)器語(yǔ)言必須翻譯成“我們可以理解的內(nèi)容。”

日志管理工具和SIM整合設(shè)備形成安全架構(gòu)