SANS协会想知道您是如何使用日志管理工具的。进行第五次年度日志管理调查,向供应商提供如何改进其产品和服务的反馈。
每次我和一个有着日志管理(LM)或安全信息和事件管理(SIEM)产品,我听说用它可以做很多奇妙的事情有价值的信息由计算设备的日志产生。例如,当某个员工利用午休时间下载大量数据时,您可以使用相关日志数据提醒您——这种活动没有合法的业务需求。或者,您一年的日志数据可以被法医分析,以帮助确定您怀疑发生在7个月前的神秘数据泄露的晦涩原因。
我不怀疑那些用例是可能的,当然它们是非常需要的。然而,我认为让LM/SIEM供应商相信他们的大多数客户都处于实现成熟的阶段有点野心勃勃。我怀疑,日志管理工具的许多用户仍然在努力找出这个强大武器的可能用例。
的圣学院目前正在进行一项调查,旨在帮助澄清这些怀疑。SANS已经连续第五年在1月份进行详细的日志管理调查,我们鼓励您参与!
与4年的历史数据相比,该调查已成为了解当前日志管理需求和使用状况的权威来源。它反映了公司如何真正使用他们的LM系统,而不是他们希望它们如何被使用。(不足为奇的是,大多数公司都希望拥有实时安全警报和取证能力,但他们只是在使用规模上没有进步那么远。)
2008年版的调查(阅读分析报告)显示,大多数受访者仍处于认识其日志数据的全部价值的早期阶段。超过四分之三的受访者表示,他们收集日志数据的原因是“检测和分析安全和性能事件”。然而,他们也承认,日志数据可以通过信息资产保护、系统维护、法规遵从性以及(列表中较低的)取证使他们的组织受益。
2008年的受访者表达了他们对当前日志管理系统的一些不满。“收集数据”是最重要的问题,其次是“搜索数据”和“报告”。这表明,与收集日志数据相关的问题仍然阻碍公司从他们的工具中获得更多好处。来自不同来源和不同格式的数据量给收集和关联数据带来了挑战。显然,需要为所有类型的设备的日志数据制定正式的标准。
LM和SIEM供应商关注每年的SANS调查结果。这是您向他们提供关于您在日志管理工作中的位置以及您希望在未来的产品和应用程序中看到什么信息的机会。
以截至2009年1月底的调查为例——点击这里。调查结果将进行统计,SANS研究所将于2009年4月发布报告。所有调查参与者将获得一份结果分析副本。