日志來源

在本頁

• 1 .數據源類型
• 2 .“必備”日志

確定日志源，這些日志源將為您提供在執(zhí)行安全監(jiān)控時有用的信息。

遵循操作模型頁面中列出的原則后，您應該對您的系統(tǒng)及其體系結構有相當全面的了解。您還應該了解您試圖在系統(tǒng)中檢測的威脅和攻擊的復雜性。

下一步是識別組織（或客戶系統(tǒng)）內的日志源，這些日志源將為您提供在執(zhí)行安全監(jiān)控時有用的信息。這就是威脅建模的用處，因為它使您能夠識別有價值的日志源，并提供為什么應該收集它們的理由。

除了用于檢測之外，日志源對于執(zhí)行事件響應也至關重要，因為它們可以在發(fā)生事件時提供有關系統(tǒng)行為的有價值的上下文。

數據源類型

為了保持與技術無關的目標，本指南不會枚舉每種類型的日志源。然而，應考慮的來源可分為四大類。

• 應用——可以說是最廣泛和最多樣化的范圍。應用程序提供的日志通常可以提供對用戶操作的寶貴洞察。
• 主機- 這些日志通常指操作系統(tǒng)和應用程序日志。通常，獲取這些內容需要將代理部署到設備上。NCSC 日志記錄變得簡單就是一個例子。
• 網絡- 來自網絡設備和基礎設施的日志可以提供有關整個資產中連接的設備和服務的重要信息。
• 云- 云日志可以包含上述所有數據源，但有些服務不屬于這些類別，例如云管理和計算服務。這些服務通常會提供自己的日志，其中包含大量有用的信息。

“必備”日志

在深入研究系統(tǒng)地識別日志源的過程之前，有一些快速的監(jiān)控方法。

• 身份驗證- 這些日志將允許 SOC 識別用戶登錄系統(tǒng)或嘗試登錄系統(tǒng)的位置和時間。當對手試圖未經授權訪問系統(tǒng)時，這些日志會發(fā)出巨大的危險信號。
• 安全控制- 這可以包括反惡意軟件、安全控制（例如防火墻）、訪問控制列表更改以及在組織內執(zhí)行安全功能的任何內容。與上面類似，這些控件提供的日志是必須的，因為它們將提供出現(xiàn)問題的第一個指示。
• DNS - 這些日志對于識別組織內的惡意行為非常有價值。例如，“EUD123 已請求 www[.]n0t-m4lw4re[.]com”——這可能會提供受感染設備的第一個指示，從而允許 SOC 進行干預。