日志來源

在本頁

• 1 .數(shù)據(jù)源類型
• 2 .“必備”日志

確定日志源，這些日志源將為您提供在執(zhí)行安全監(jiān)控時(shí)有用的信息。

遵循操作模型頁面中列出的原則后，您應(yīng)該對您的系統(tǒng)及其體系結(jié)構(gòu)有相當(dāng)全面的了解。您還應(yīng)該了解您試圖在系統(tǒng)中檢測的威脅和攻擊的復(fù)雜性。

下一步是識別組織（或客戶系統(tǒng)）內(nèi)的日志源，這些日志源將為您提供在執(zhí)行安全監(jiān)控時(shí)有用的信息。這就是威脅建模的用處，因?yàn)樗鼓軌蜃R別有價(jià)值的日志源，并提供為什么應(yīng)該收集它們的理由。

除了用于檢測之外，日志源對于執(zhí)行事件響應(yīng)也至關(guān)重要，因?yàn)樗鼈兛梢栽诎l(fā)生事件時(shí)提供有關(guān)系統(tǒng)行為的有價(jià)值的上下文。

數(shù)據(jù)源類型

為了保持與技術(shù)無關(guān)的目標(biāo)，本指南不會枚舉每種類型的日志源。然而，應(yīng)考慮的來源可分為四大類。

• 應(yīng)用——可以說是最廣泛和最多樣化的范圍。應(yīng)用程序提供的日志通?？梢蕴峁τ脩舨僮鞯膶氋F洞察。
• 主機(jī)- 這些日志通常指操作系統(tǒng)和應(yīng)用程序日志。通常，獲取這些內(nèi)容需要將代理部署到設(shè)備上。NCSC 日志記錄變得簡單就是一個(gè)例子。
• 網(wǎng)絡(luò)- 來自網(wǎng)絡(luò)設(shè)備和基礎(chǔ)設(shè)施的日志可以提供有關(guān)整個(gè)資產(chǎn)中連接的設(shè)備和服務(wù)的重要信息。
• 云- 云日志可以包含上述所有數(shù)據(jù)源，但有些服務(wù)不屬于這些類別，例如云管理和計(jì)算服務(wù)。這些服務(wù)通常會提供自己的日志，其中包含大量有用的信息。

“必備”日志

在深入研究系統(tǒng)地識別日志源的過程之前，有一些快速的監(jiān)控方法。

• 身份驗(yàn)證- 這些日志將允許 SOC 識別用戶登錄系統(tǒng)或嘗試登錄系統(tǒng)的位置和時(shí)間。當(dāng)對手試圖未經(jīng)授權(quán)訪問系統(tǒng)時(shí)，這些日志會發(fā)出巨大的危險(xiǎn)信號。
• 安全控制- 這可以包括反惡意軟件、安全控制（例如防火墻）、訪問控制列表更改以及在組織內(nèi)執(zhí)行安全功能的任何內(nèi)容。與上面類似，這些控件提供的日志是必須的，因?yàn)樗鼈儗⑻峁┏霈F(xiàn)問題的第一個(gè)指示。
• DNS - 這些日志對于識別組織內(nèi)的惡意行為非常有價(jià)值。例如，“EUD123 已請求 www[.]n0t-m4lw4re[.]com”——這可能會提供受感染設(shè)備的第一個(gè)指示，從而允許 SOC 進(jìn)行干預(yù)。