В мире запросов на соответствие и раскрытие информации способность исследовать необработанные файлы журналов, не допуская шума, может не только сэкономить время в вашем процессе, но и снизить риск ошибок. Возможность быстро анализировать большие объемы файлов журналов, будь то в облаке или скрытые в локальных архивах, существенно повлияет на работу вашей технической команды.
На примере высшего образования каждый год в университет поступают новые студенты, а для ИТ-специалистов это означает новые записи. Но это также означает новые устройства в сетях. В Европе это включает Eduroam, стороннюю сетевую точку, где журналы могут быть не так легко доступны. В среднем студент приносит с собой мобильный телефон и ноутбук. Но в этом постоянно растущем мире IoT ожидается, что студенты будут приносить больше интеллектуальных устройств, а также устройств, таких как планшеты. Это увеличивает влияние ученика на любое решение SIEM.
Проблема, с которой часто сталкиваются университеты, заключается в том, что каждый отдел работает по-разному (и часто работает в бункерах). Системы, работающие под столом лектора на машине, которая была выведена из эксплуатации четыре аудита назад, являются обычной находкой.
Это может усложнить аудит соответствия, но когда дело доходит до запросов на раскрытие данных со стороны властей (Департамента труда и пенсий, местных советов, HMRC, полиции и виз и иммиграции), проблема начинается. Когда в партнерстве с бюрократизмом раздаются запросы на раскрытие информации от полиции, это часто может быть критично ко времени, поэтому к тому времени, когда запрос прошел процедуру и политику, у ИТ-отдела часто возникает проблема со временем для работы. производство.
Для большинства университетов и даже других организаций местного самоуправления у них нет круглосуточной среды SOC, где они могут выделять ресурсы на эти запросы. Модели ценообразования SIEM часто означают, что определенные системы не включены в мониторинг. Ключевым является обладание навыками и инструментом, который может решить эту проблему.
Вам также может понравиться:
Как проверить файлы журналов на сервере без входа на сервер
Например, в устаревших системах Linux аналитик будет тратить больше времени на работу над идеальным скриптом поиска, чем на реальные данные, а затем снова пытаться отформатировать данные, чтобы сделать их читаемыми и понятными. Для местных органов власти и высших учебных заведений в нынешних финансовых условиях обеспечение использования ресурсов является ключом к росту и устойчивости.
Это включает в себя сотрудников ИТ-группы, которые могут эффективно использовать свое время. Но журналы часто хранятся в разных источниках данных, и, в зависимости от SIEM, не все они могут быть видны. Например, запрос, который часто получают университеты, связан с тем, « посещал ли X студент этот университет в течение периода X ?»
Простая проверка академических документов подтвердит это. Но тогда это становится более сложным, например, «когда студенты X посещали ваш институт, у вас есть журналы, подтверждающие действия, которые они выполняли в Интернете. Мы хотим посмотреть, просматривали ли они www.badstuff.org/NotARealSite/, и думаем, что они участвуют в злонамеренной кампании фишинга, которая возникла из IP- адреса университета ».
Поскольку этот запрос фильтрует отделы и процедуры, для аналитика, на круг которого он попадет, ключевым моментом будет возможность точного объединения данных, устранения шума и логического запроса данных. Часто вместе с этим запросом будет дамп данных за день, запрошенный из разных систем. Этот сценарий разыгрывается в разных ИТ-командах многих институтов.
Аналитик получит дамп журналов, охватывающих определенную дату, и будет искать определенную дату или пользователя и сможет запрашивать. Создание отчета в удобочитаемом формате без необходимости совершенствовать свои навыки работы с Excel также поможет на критически важном этапе.
Вот пример исследования того, был ли пользователь в системе в течение определенного периода времени. Мы использовали бесплатную версию SpectX для объединения различных системных журналов, а затем для их анализа и поиска.
Одновременный запрос файлов журналов, хранящихся как локально, так и в Amazon S3, так же прост, как:
Оболочка
1
LIST(['file://Sample_Logs.csv', 's3s://spectx-docs/logs/custom/archive/tracking_access-2018.log.pi.gz'])
2
| parse(pattern:$pattern)
3
| select(*)
4
| filter(username = 'vladimir')
Результат запроса, с которым мы остались, состоит в том, что пользователь vladimir действительно получил доступ к системе в тот момент времени из этой геолокации.
Чтобы лучше понять команды ввода запросов, просмотрите раздел документации SpectX.
Заключение
Простота использования, особенно когда дело доходит до работы с журналами, делает процесс менее утомительным для аналитиков (с SpectX это становится забавным, прочитайте статью об анализе журналов Git ). Возможность экспериментировать и пробовать различные запросы, представления и команды в необработанных журналах при работе с запросом не только повысит точность исследований, но также добавит новую динамику в обработку этих запросов. Для получения дополнительной информации о SpectX см. Документацию .