PA08监控安全态势之分析事件记录
2018-03-13 18:10:59 | 来源:中培企业IT培训网
◇BP.08.01分析事件记录
检测并分析安全相关性信息的历史和事件记录(包括日志记录),以确定一个事件的原因,它怎样发展以及将来可能的事件。通过多条记录中的相关事件所用元素,应该台旨识别出感兴趣的事件。多条事件记录可以融和为一条事件记录。
工作产品示例:
(1)描述每个事件——识别出每个探测到的事件的来源、影响和重要性。 (2)建立日志记录和来源——从各种来源生成安全相关事件的记录。
(3)事件标识参数——描述事件是否由系统的各个部分进行收集。
(4)列出所有目前的单个日志记录报警状态——标识根据单个日志记录采取行动的所有要求。
(5)列出所有目前的单个事件报警状态——找出根据事件采取行动的所有要求,这些事件由多个日志记录形成。
(6)定期报告已出现的所有报警状态——将从多个系统得到的报警列表进行综合处理并作初步分析。
(7)日志分析和归纳——对最近出现的报警进行分析归纳。
这里需要注意的是:
( 1)许多审计记录可能包含与单个事件有关的信息。在分布式网络化环境中尤其如此。一个事件在跨越网络多个位置时常常留下踪迹。为了保证单独的记录对于完整地理解事件及其行为是有价值和有贡献的,单独的日志记录需要进行组合或融和为单个的事件记录。
(2)可以对单个记录和多个记录进行分析。对相同类型的多个记录分析经常使用统计或趋势分析技术。虽然通常是对相同类型事件进行多事件记录,但也可以根据日志记录和事件(融和)记录对不同类型的多个记录进行分析。
(3)报警,即基于单个事件的偶然行动需求,应该根据日志记录和融和的事件记录来确定。分析也包括来自于开发环境的日志和事件记录。
- 上一篇:PA08监控安全态势
- 下一篇:PA08监控安全态势之监视变化
猜你喜欢
预约领优惠
在线预约,领取限时优惠!