日志管理工具和SIM整合設(shè)備安全架構(gòu)

申請免費(fèi)試用、咨詢電話：400-8352-114

沒有人懷疑日志文件——所謂的計算系統(tǒng)的黑匣子——可用于各種用途：故障診斷、監(jiān)視合規(guī)遵從性、分析到您的網(wǎng)站的流量。日志文件忠實地記錄發(fā)生在服務(wù)器、網(wǎng)絡(luò)設(shè)備和一些應(yīng)用程序中的事情。我們面臨的挑戰(zhàn)是如何有效地解開這個信息寶庫（有時是粗糙的）。對于Larry Whiteside來說，被迫尋找正確的日志管理工具?！　?/P>

Whiteside是紐約探訪護(hù)士服務(wù)（VNSNY）的首席信息安全官（CISO）。有效地分析組織的日志文件不僅讓他了解他的計算環(huán)境，而且它也構(gòu)建了他需要用來在最重要的問題上和他的商業(yè)伙伴有效地溝通的指標(biāo)。

大約130,000病人的病歷和信用卡數(shù)據(jù)落入VNSNY的關(guān)注中。該組織必須遵守健康保險流通與責(zé)任法案（HIPAA）、支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)和薩班斯-奧克斯利法（Sarbanes-Oxley Act）。

Whiteside說：“歸根結(jié)底，他們希望能夠看到我試圖去建立的安全指標(biāo)意味著什么。無論你是不知道如何使用電子郵件的董事會成員還是超級技術(shù)人員，他們理解的一件事是HIPAA標(biāo)準(zhǔn)”。

作為該組織的首任CISO，當(dāng)Whiteside 于2007年12月抵達(dá)VNSNY時，他的首要任務(wù)是數(shù)據(jù)管理。但是，實行數(shù)據(jù)管理，VNSNY首先必須知道正產(chǎn)生了什么樣的數(shù)據(jù)、數(shù)據(jù)去哪兒了以及誰在處理如山般的信息。

作為全國最大的非營利家庭健康護(hù)理提供商，VNSNY從4000名具有平板電腦的移動護(hù)士收集數(shù)據(jù)。它有8000個技術(shù)賬號、325臺服務(wù)器和額外的 3500個終端。從防火墻到桌面，Whiteside想深入洞察系統(tǒng)數(shù)據(jù)、觀察在網(wǎng)絡(luò)上的實時活動記錄，并需要一種關(guān)聯(lián)這兩個流的一種方法以實現(xiàn)智能化事件關(guān)聯(lián)圖。

自從Whiteside在安全信息管理廠商netForensics工作以來，作為美國軍隊前任安全專家和日志管理的狂熱愛好者，Whiteside說，他相信他能從VNSNY日志中提取出他想要的東西，只要他有合適的工具。

該組織有來自RSA Security的日志管理工具，但它像一個“笨蛋”一樣傻坐在那兒，沒有配置和監(jiān)測。在Whiteside獲取供應(yīng)商的幫助未果后，他最終使用一臺來自LogLogic公司的日志管理設(shè)備和兩臺來自在賽門鐵克的安全信息管理器（SIM）設(shè)備設(shè)計他自己的架構(gòu)。SIM收集和關(guān)聯(lián)來自不同源的日志文件，以提供幾乎實時的跨IT環(huán)境的活動報告。

Whiteside說：“最具挑戰(zhàn)性的日志是系統(tǒng)級的日志，因為他們能夠以如此眾多的形式出現(xiàn)，因此需要查詢許多字段。”他需要一個能夠“在大海里撈針”的日志管理工具。

他說：“我希望能夠在我最健談的部分（應(yīng)用和系統(tǒng)日志）做到這樣的查詢水平。LogLogic擁有應(yīng)付系統(tǒng)級事件的最佳查詢引擎?！?/P>

在Whiteside的架構(gòu)中，LogLogic工具收集和標(biāo)準(zhǔn)化系統(tǒng)和應(yīng)用程序日志文件。其中一臺賽門鐵克的SIM收集和標(biāo)準(zhǔn)化所有基于網(wǎng)絡(luò)的日志文件數(shù)據(jù)——來自防火墻、入侵防御設(shè)備、路由器等。第二臺SIM從每臺機(jī)器上提取所有標(biāo)準(zhǔn)化的數(shù)據(jù)并使用Whiteside的團(tuán)隊指定的規(guī)則關(guān)聯(lián)這些數(shù)據(jù)。

由于專用于關(guān)聯(lián)事件的SIM沒有因事件的收集而陷入困境，他說：“我能夠標(biāo)準(zhǔn)化的規(guī)則數(shù)量是極大的。”賽門鐵克SIM還帶有一個威脅識別工具，它將當(dāng)前的威脅電報給授權(quán)接收它們的人。

而且，他補(bǔ)充說，他的混合解決方案被設(shè)計用于自管理——不像需要管理位于服務(wù)器上的SIM，而像來自行業(yè)領(lǐng)導(dǎo)者ArcSight公司的解決方案（“業(yè)界最直觀的圖形用戶界面，但他們?nèi)狈蠖思夹g(shù)”）。

這是一個重要的考慮因素。在VNSNY 179人IT團(tuán)隊中，Whiteside的份額為3。事實上，他說，他的目標(biāo)是讓在他的環(huán)境中的每一個應(yīng)用程序和每一臺服務(wù)器通過他的架構(gòu)進(jìn)行報告，使用自動關(guān)聯(lián)規(guī)則?；谒膱F(tuán)隊搭建的關(guān)鍵規(guī)則，該系統(tǒng)將向每一位需要知道何時發(fā)生了什么事兒的人發(fā)送警報。

Whiteside說：“我們還沒有將該架構(gòu)徹底調(diào)整到我們期望的地步，但我 100％肯定它會工作，因為以前我已經(jīng)做到了?！?/P>

然而，即使部分部署，他的日志管理解決方案已經(jīng)為內(nèi)部的 IT和業(yè)務(wù)方面帶來了效益。例如，系統(tǒng)發(fā)現(xiàn)一個密碼過期很長時間的帳戶，解決了為什么它不工作的奧秘。作為VNSNY的合規(guī)遵從小組的成員——包含審計頭領(lǐng)、隱私官員和內(nèi)部律師的小組——Whiteside使用它的日志報告向團(tuán)隊出示組織需要將它的許多合規(guī)性審計傳遞到哪兒。他說：“報告允許我建立安全指標(biāo)的基線。”

Whiteside承認(rèn)從他的供應(yīng)商得到了折扣，因為同意與記者交談，拒絕透露系統(tǒng)成本為多少，除了即使沒有折扣價格也足夠低以外，以至于他不必游說為它去花錢。他估計，將需要花費(fèi)一個全職的人每周4小時去做他的工作日志管理工具要做的工作。

位于加州圣荷西的LogLogic市場營銷和戰(zhàn)略執(zhí)行副總裁Dominique Levin說，用于自動化日志管理解決方案的業(yè)務(wù)案例幾乎使它本身作為由公司計算系統(tǒng)產(chǎn)生的數(shù)據(jù)容量擴(kuò)展到超現(xiàn)實維度。（VNSNY使用LogLogic的MX設(shè)備，該設(shè)備針對中端市場進(jìn)行了裁剪，價格為45,000美元。）

她說：“在LogLogic到達(dá)現(xiàn)場以前，大約80％的公司正在做日志管理的工作。他們使用Unix平臺和腳本，然后他們遇到了困難?！?/P>

她說，受管制的環(huán)境強(qiáng)調(diào)一切需要留在頂部。許多安全和法規(guī)遵從授權(quán)是指機(jī)器語言必須翻譯成“我們可以理解的內(nèi)容?！?/P>

日志管理工具和SIM整合設(shè)備形成安全架構(gòu)