建立安全运营中心（SOC）​日志来源

日志来源

在本页

• 1 .数据源类型
• 2 .“必备”日志

确定日志源，这些日志源将为您提供在执行安全监控时有用的信息。

公司主营业务：网站制作、网站设计、移动网站开发等业务。帮助企业客户真正实现互联网宣传，提高企业的竞争能力。创新互联是一支青春激扬、勤奋敬业、活力青春激扬、勤奋敬业、活力澎湃、和谐高效的团队。公司秉承以“开放、自由、严谨、自律”为核心的企业文化，感谢他们对我们的高要求，感谢他们从不同领域给我们带来的挑战，让我们激情的团队有机会用头脑与智慧不断的给客户带来惊喜。创新互联推出开鲁免费做网站回馈大家。

遵循操作模型页面中列出的原则后，您应该对您的系统及其体系结构有相当全面的了解。您还应该了解您试图在系统中检测的威胁和攻击的复杂性。

下一步是识别组织（或客户系统）内的日志源，这些日志源将为您提供在执行安全监控时有用的信息。这就是威胁建模的用处，因为它使您能够识别有价值的日志源，并提供为什么应该收集它们的理由。

除了用于检测之外，日志源对于执行事件响应也至关重要，因为它们可以在发生事件时提供有关系统行为的有价值的上下文。

数据源类型

为了保持与技术无关的目标，本指南不会枚举每种类型的日志源。然而，应考虑的来源可分为四大类。

• 应用——可以说是最广泛和最多样化的范围。应用程序提供的日志通常可以提供对用户操作的宝贵洞察。
• 主机- 这些日志通常指操作系统和应用程序日志。通常，获取这些内容需要将代理部署到设备上。NCSC 日志记录变得简单就是一个例子。
• 网络- 来自网络设备和基础设施的日志可以提供有关整个资产中连接的设备和服务的重要信息。
• 云- 云日志可以包含上述所有数据源，但有些服务不属于这些类别，例如云管理和计算服务。这些服务通常会提供自己的日志，其中包含大量有用的信息。

“必备”日志

在深入研究系统地识别日志源的过程之前，有一些快速的监控方法。

• 身份验证- 这些日志将允许 SOC 识别用户登录系统或尝试登录系统的位置和时间。当对手试图未经授权访问系统时，这些日志会发出巨大的危险信号。
• 安全控制- 这可以包括反恶意软件、安全控制（例如防火墙）、访问控制列表更改以及在组织内执行安全功能的任何内容。与上面类似，这些控件提供的日志是必须的，因为它们将提供出现问题的第一个指示。
• DNS - 这些日志对于识别组织内的恶意行为非常有价值。例如，“EUD123 已请求 www[.]n0t-m4lw4re[.]com”——这可能会提供受感染设备的第一个指示，从而允许 SOC 进行干预。

网站栏目：建立安全运营中心（SOC）​日志来源
标题链接：http://www.csdahua.cn/qtweb/news36/97486.html

网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 快上网