去年夏天,田纳西大学安装了一个日志管理工具,以满足PCI和HIPAA符合要求。从那时起,该大学正在寻找日志数据的其他用途,以提高网络安全和运营效率。
在上周的时事通讯我告诉过您一个关于日志管理使用的调查,这个月SANS Institute正在运行。SANS想知道组织如何利用设备日志来帮助供应商形成和改进他们的解决方案集。你还有时间把你的信息贡献给调查在一月里。研究结果将于4月公布。
与此同时,我最近与田纳西大学(University of Tennessee)的信息安全官詹姆斯·佩里(James Perry)讨论了他对日志管理的使用。他的部门从2008年7月开始使用ArcSight Logger,他仍然在寻找有趣的用例。下面我们来看看其中的一些,以及他的组织是如何从日志管理中获益的。
在许多方面,大学环境比企业环境更复杂。佩里的团队负责五个校区的安全和运营。他说,他们几乎像一个ISP一样,因为他们无法决定学生,教授和校园部门使用的产品,技术和应用程序。对于大学网络经理,有强有力的需要平衡学生与网络安全的自由。
与此同时,环境也不可能是自由的。该大学网络服务于159家商家,如书店、咖啡店和其他销售业务。这意味着需要符合PCI要求。其中两个校区处理医疗数据。这意味着遵守HIPAA。有财务数据,意味着符合GLBA,等等。如您所见,为遵从性目的记录和监视所有活动的需求是大学获取日志管理产品的一个重要驱动因素。更重要的是,像今天的大多数组织一样,这所大学正在经历预算削减,所以佩里被迫用更少的资源改善安全和运营。日志管理也有助于实现后一个目标。
佩里的团队选择一家Logger作为他们的工具有两个原因。首先,他们已经在使用ArcSight SIEM平台来收集过滤后的安全事件信息。使用ArcSight的日志管理产品意味着这两个工具可以很容易地将相同的数据用于不同的目的。其次,ArcSight Logger允许大学从许多不同类型和品牌的设备收集数据,将其放在一个地方,并将其规范化,以便进行详细的报告和警报机制。他把ArcSight Logger称为“一种打了类固醇的syslog类工具”。
在安装日志管理工具之前,该大学只有SIEM解决方案。该工具将过滤掉无关数据,只查找安全事件。当他们添加日志管理器时,那些曾经被丢弃的“无关的”数据开始显示出许多非常有用的遵从性和操作信息。例如,佩里说,他们现在可以通过阅读特定事件来看到设备未决故障的迹象。这些事件会触发对技术人员的警报,技术人员可以在设备完全故障前处理设备的需求。
日志管理也有助于提高安全性。如果内部存在安全漏洞,日志数据可以帮助在几分钟内确定源头。此前,安全分析师可能要花45分钟以上的时间才能找到源头。现在时间缩短到两到三分钟。
Perry希望他们能够通过日志管理系统解决他们的遵从性需求。他很高兴看到有“额外的好处”使他的团队更有效率,他预计随着时间的推移,他们会发现日志管理的更多用途。