Quali caratteristiche si cercano in una soluzione di gestione dei log aziendali?

8

Questa domanda riguarda i professionisti IT e le persone che gestiscono l'infrastruttura di un'azienda. Gli sviluppatori dovrebbero vedere questa risposta correlata per gli strumenti adatti a loro.

Quali sono i requisiti per una tale soluzione di gestione del registro eventi? Che cosa hai attualmente, o speri di derivare da un tale sistema?

Ulteriori informazioni:

Ho trovato una domanda correlata che si concentra su come un'applicazione dovrebbe salvare in il registro degli eventi, ma questa domanda è ortogonale a questo. Qui vorrei sapere quali strumenti, report e avvisi circostanti si desidera da un sistema che aggrega e analizza i file di registro.

In un'impostazione Enterprise ciò include indubbiamente: registri eventi di Windows, firewall, registri router, syslog, ecc.

    
posta random65537 22.11.2010 - 19:37
fonte

2 risposte

10

Ecco alcune caratteristiche che dovresti prendere in considerazione, tieni presente che potresti non aver bisogno di tutte queste funzionalità, e una potrebbe non essere migliore delle altre - ma sono punti da considerare:

  • Copertura:
    • Eventi di Windows Accedere ai server, tutte le versioni correnti
    • Evento di Windows Accedere ai client, tutte le versioni nella tua organizzazione (rimarrai sorpreso di quanti Win98 ci siano ancora ...)
    • syslog su server Linux / Unix in base ai tuoi gusti
    • syslog su workstation Linux / Unix (se ne hai) in base ai gusti comuni in uso
    • trap SNMP generici
    • Altri sistemi operativi che potresti avere ...
    • Apparecchiature di rete (se questo è il luogo in cui vuoi prenderle): firewall, router, gateway, proxy, WAF, IDS / IPS, ecc.
    • Registri del server Web / app: ad es. IIS, Apache, WebSphere, WebLogic, ecc., Qualsiasi altra cosa tu abbia
    • Database
    • Server di posta
    • I server MQ se li hai e sono fondamentali
    • AD / directory / server IdM
    • server di sicurezza e controllo, ad es. gateway di filtro del contenuto, HPOV, MS SMS, ecc.
    • etc qualsiasi altra infrastruttura che trovi fondamentale
    • Registri delle applicazioni! Come ho detto nel mio commento in alto, questo è di importanza cruciale, ma sono spesso trascurati. Mentre non esiste un formato comune reale (ci sono alcune strutture ma niente dati specifici), il prodotto / soluzione SIEM dovrebbe:
      un. essere in grado di ricevere e analizzare genericamente una varietà di formati e file, ad es. CSV, XML, flatfiles, ecc.
      b. idealmente sarebbe in grado di definire formati specifici e riconoscere i dati
  • Agente vs agentless (aka push vs. pull)
    • Ci sono vantaggi per ciascuno, il che dipende molto dal tuo ambiente specifico.
    • Il migliore sarebbe il supporto di entrambi i modelli e usarli ogni volta dove opportuno
    • Ancora meglio è il supporto di un'API integrata per accedere direttamente ad esso.
  • Aggregazione e consolidamento
  • Correlazione - cioè collega eventi diversi da diverse fonti insieme per formare un singolo incidente significativo. Idealmente dovrebbe usare una varietà di tecniche
  • Reporting e dashboard - dovrebbero essere di tipo BI, sia per l'analisi delle tendenze che per indagini specifiche sugli incidenti / utenti
  • Analisi automatizzate e avvisi attivi, a seconda della configurazione. Dovrebbe essere abbastanza flessibile per soddisfare le tue esigenze e aspettative. I motori analitici dovrebbero essere in grado di identificare alcune classi di abuso / frode / attacco in (quasi) tempo reale.
  • Dati storici e rapporti / analisi / correlazione nel tempo
  • Se pertinente, alcuni prodotti offrono pacchetti di "conformità", per aiutare a soddisfare specifici requisiti normativi.
  • disponibilità elevata
  • Ampia protezione dei dati dei registri, sia della riservatezza che dell'integrità, utilizzando la combinazione di crittografia, controllo degli accessi, registrazione automatica, ecc.
  • Gestione remota (in modo sicuro, ovviamente)
  • Possibilità di collegarsi a SOC se / quando ci arrivi
risposta data 23.11.2010 - 20:20
fonte
3
risposta data 24.11.2010 - 16:45
fonte

Leggi altre domande sui tag