部署安全信息事件管理(SIEM)的最佳实践

　　Verizon Business公司风险小组发布的《2010年数据泄漏调查报告》现已出炉，里面含有大量的宝贵信息。这年的报告包含了美国特勤局开展的调查内容，显著扩大了数据泄漏的范围。调查人员分析了这些数据泄漏，以查找根源。这份报告之所以那么重要，原因在于它让我们有机会了解其他企业在哪些环节没有保护好数据和系统，那样我们就能从别人的不幸经历中汲取教训。

　　报告中总是有一些令人惊讶的统计数字和细节内容。比如说，2010年报告声称"我们一再发现，虽然日志十有八九可供企业使用，但通过分析日志来发现数据泄漏的仍然不足5%。"

　　这是否意味着不值得企业花力气收集日志数据?根本不是这样。但这份报告认为，战略可能需要有所改变;现在恐怕是时候寻找大草堆了，而不是一味寻找大草堆里面的细针。该报告表明，有三大征兆(即大草堆)可能表明存在泄漏：

　　◆日志数据增加异常

　　◆日志里面的行长得异常

　　◆没有日志数据(或日志数据减少异常)

　　调查人员撰文："我们发现数据泄漏后，日志条目增多了500%。攻击者关掉日志功能后，我们发现好几个月日志完全消失了。我们注意到，SQL注入攻击及其他攻击使得日志里面的行要比正常活动长得多。这些与其说是细针，还不如说是大草堆。"此外，"仅仅寻找大草堆会是一种非常大的改进。"

　　安全信息事件管理(SIEM)系统等工具既可以帮你找到大草堆，还能帮你找到细针，那样不但加大了检测数据泄漏或违反政策的其他行为的可能性，甚至加大了缓解这些安全威胁的可能性。LogLogic公司的全球营销执行副总裁Bill Roth给出了几点建议，介绍了部署SIEM的若干最佳实践：

　　了解你的数据以及你希望它用来做什么。

　　你在部署SIEM系统之前，一定要了解日志数据的大小、频率和行为。这意味着，你要知道数据来自哪里(比如来自系统、路由器或交换机)，数据又是如何提供的。你还应该确定实施SIEM系统的具体目标。你实施的SIEM主要用来支持企业日常运营?还是用于加强安全，将日志作为审计跟踪记录来保留?还是说用于满足具体的法规法令?了解你希望SIEM系统为贵企业做什么，可以帮助你确定需要遵守的政策和程序，并且确定日志数据保留多久。

　　将一切设备记入日志。

　　明确范围，弄清楚要把哪些设备记入日志(如系统日志、系统、路由器和防火墙)。祝上述的使用场合而定，你可能要重点关注一组特定的设备。别忘了：可以记入日志的对象绝不仅限于网络设备。比如说，你还可以通过物理登录来收集信息，比如通过安全机制进入大楼的情况。另外，在法规遵从方面，支付卡行业数据安全标准(PCI-DSS)要求你把参与支付卡交易的所有设备都记入日志。企业常常把这个网络隔离开来，每年仅仅保留那些设备的审计跟踪记录。为了安全起见，你要把一切设备记入日志，确保你的整个网络和整个企业都受到了保护。

　　要不要关联?

　　明确要管理哪几层日志将有助于确定哪些使用场合下需要关联。企业往往至少把专门针对安全的设备关联起来，比如入侵检测系统/入侵防护系统(IDS/IPS)设备、防火墙和域控制器，那样才能采取积极主动的安全方法。不过，一些企业利用关联机制是为了确保运营顺畅，比如利用特定的数据库错误消息来确定操作系统错误消息，并把该消息与多个平台上的软件错误消息联系起来。两者都是很典型的使用场合。

　　不要"设定好后就不管"。

　　如果你设定好了部署的SIEM系统，但以后不去管它，还不如当初不要部署。你一定要针对日志管理层和关联层设定好角色和政策。还要对它们逐步进行调整，以便它们能很好地协同运行，以减少误报率。一定要为应当审阅SIEM解决方案生成的报告的那些人明确职责，并且落实政策，确保新设备在投入使用后添加到整个系统中。

　　报告是关键。

　　应该从符合你要求的具体报告开始入手，而不是一下子获取一大堆报告。通过收集一系列特定的数据，你就能调整数据，并加以优化。换句话说，一开始就要想着目的。能够回答"我其实需要知道什么?"之类的问题，而且在制作最终报告时要想着那个目的。你在制作报告时，要确保考虑到了各利益相关者(比如你的老板)。牢记这一点：你不但要寻找细针，还要寻找大草堆。

　　为部署SIEM解决方案制定好一项可靠的方案，有望帮助贵企业遵从法规，并且让贵企业的IT运营确保拥有良好的安全状况。