运维有小邓

  一、 EventLog Analyzer 分析以监控关键的内联网安全事件 EventLog Analyzer为所有Windows、Unix系统、交换机和路由器(Cisco)、其他Syslog支持设备以及IIS、MS SQL等应用程序执行日志分析。Eventlog分析器应用程序能够执行实时 日志文件分析 。事件日志文件分析器应用程序可以对导入文件执行日志文件分析。这些文件可以从档案或任何机器导入。 EventLog Analyzer 当网络中的机器上生成重要的安全事件时，事件日志文件分析器应用程序会实时收集、执行日志分析并在EventLog Analyzer仪表板上显示事件。事件日志报表从所分析的事件日志中生成。从事件日志报表（图表）中，您可以深入查看原始日志事件并在几分钟内完成根本原因分析，然后专注于解决它。 日志分析器应用程序对导入和归档的日志文件执行分析，以满足取证分析和事件 日志审核 的要求。取证和审核报表可以从所分析的日志中生成。 日志分析器 二、接收特定服务器上关键事件的即时告警 您可以设置告警，当服务器上生成特定事件时触发该告警。例如，您可以设置告警，以在邮件服务器上生成紧急事件时通知管理员。告警可在触发时通过电子邮件发送给操作员。使用EventLog Analyzer告警，您将获知网络上每个系统的最新状态。 即时告警 三、将分散事件存档到中央位置 已归档事件日志能够让您深入了解系统的性能。但是，除非所有事件日志都存档在中央位置，并且操作员能够随时对其进行访问，否则事件日志检索是一项相当复杂的任务。EventLog Analyzer自动将从每个系统收到的事件日志归档到一个中央位置，并允许操作员随时访问档案。

  除服务器和客户端外，典型网络基础设施还包含各种独有元素，监控这些元素非常重要。 监控网络设备 是必需的，因为它可帮助您全面了解您的网络。例如，如果防火墙中的错误允许对网络进行非法访问，那么仅当提供防火墙审计信息后，您才能执行全面取证调查。监控网络活动和安全的主要步骤是收集和 分析网络设备日志 。可使用网络安全审计工具（例如， EventLog Analyzer ）轻松完成此任务。 EventLog Analyzer 一、EventLog Analyzer可充当 网络设备监控软件 EventLog Analyzer是一个网络日志监控软件，内置对不同类型的网络设备（例如，路由器、交换机、入侵检测和阻止系统及防火墙）的支持。 您甚至可以使用自定义日志解析功能来对未识别设备定义自定义日志。 这些预定义报表可满足您的广泛报表需求。它们以易于理解的表、图表和列表形式呈现，并且可以定制。 还可根据需要定义和安排一些自定义报表。 实时告警通知您网络中发生的重要事件。其中包括关联告警，这些告警通知您在多个设备中检测到的攻击模式。 网络设备监控 二、路由器和交换机 路由器和交换机引导流量通过网络。这些设备必须正常工作，以确保在整个网络中持续通信。 必须在网络中监控对这些设备的访问、检查它们的配置是否正确以及流量通过设备的情况。 监控路由器和交换机日志可帮助您阻止潜在攻击，从而保护您的网络。 EventLog Analyzer支持Cisco和若干其他受欢迎的供应商的所有路由器和交换机。 路由器和交换机 三、入侵检测和防御系统 入侵检测系统 (IDS) 旨在识别进入网络的可疑活动和流量。它们通过向管理员发出告警或记录事件来对这类情况做出响应。 入侵防御系统（IPS）还可以检测尝试进入网络的多余数据包，并通过删除这些数据包并记录事件做为响应。 审计这些网络设备生成的日志很关键，因为这允许您以直观方式了解网络的安全性和运行状况，并相应加强安全性。 入侵检测系统 四、防火墙 与IPS类似，防火墙通过阻止可疑或多余的数据进入或退出网络来控制网络流量。他们检查包头是否符合其规则集，而IPS检查整个包。 分析防火墙日志提供有关您的机构的网络与所有外部网络之间的事务的关键信息。 您还可监控防火墙用户帐户、登录和用于控制防火墙操作的规则集的更改。 防火墙审计在应对先发制人的潜的安全攻击方面很重...

  在所有的网络威胁中，可能对组织造成最坏影响的威胁在于： 内部人员攻击 。内部人员攻击者极为难以察觉，尤其当攻击者是受信任和特权用户时更是如此，因此此类攻击恶名远扬。当攻击者是一个有特权访问系统（如 Active Directory ）的IT工作人员时，几乎无法检测得到。这些攻击者知道组织从内到外的所有安全策略，这为他们提供了摆脱安全控制和掩盖其入侵。 Active Directory 内部人员攻击的主要负担是识别攻击者的有害行为，因为这可能看起来就像是和他的角色和责任一致的正常活动。只有关于情况的情境信息才有助于发现此类攻击。为了更好地理解这一点，请考虑下面的情况; 当单独看待这种情况时，很可能会把这三起事件当做平常事件而忽略。但是，如果调查人员将帐户封锁事件与其他两个相关事件相关联，则攻击变得很明显了。 内部攻击 一、Windows Active Directory中的恶意系统管理员滥用其授权特权来重置重要帐户的密码，从而利用该账户访问公司机密数据。 二、盗用身份，伪装自己进行“合法”的活动，管理员访问超出其权限的数据。所有这一切都是在一夜之间通过远程访问发生的，因为这些都是帐户允许的活动，所以不会触发任何告警。 三、帐户的实际拥有者在不知道密码重置的情况下尝试登录时被锁定。假设她忘记了密码，她会寻求帮助台的帮助以获得新密码。 身份盗用 ADAudit Plus 提供了一个搜索实用工具，该实用工具为选定时间段内的任何用户帐户（包括Active Directory管理员）提供三种不同的审计概览（如下所示）的合并。概览中提供的每个细节都是一个链接，点击链接后会显示详细的报表以供进一步检查。同样，搜索也会为任何给定组或计算机对象提供合并审计摘要，并提供正确的信息组合，以便更好地进行事件调查 ADAudit Plus 帐户的操作：这是指定帐户在其他AD对象上执行的所有配置更改的摘要。 帐户的登录历史记录：该摘要中列出了该帐户访问的每台计算机（交互式或远程访问），以及诸如登录时间和IP地址等详细信息。 对象历史记录：这提供了特定帐户的背景，总结了由谁对其或其属性进行了怎样的更改。例如，它会显示谁更改了帐户的权限或密码。 账户登录历史记录 当您使用ADAudit Plus调查上述帐户锁定事件时，此搜索将并列显示帐户中的管理员操作、从陌生IP地址进行的帐户远程访问以...

  鉴于Linux和Unix设备在组织中很流行，保护它们的安全需要一个可靠的策略。任何组织的安全策略中的必要组成部分之一就是审核 系统日志 。实时审核可以清楚地显示网络活动，并提前提醒管理员任何潜在的违规尝试。 系统日志 使用像 EventLog Analyzer 这样的自动化工具，可以使Unix和Linux设备上的系统 日志审计 高效，连续和即时。 一、使用EventLog Analyzer审核syslog设备 EventLog Analyzer提供的优点包括： 支持所有带有大量预定义报告的Unix和Linux设备。 通过无代理技术 收集系统日志 ，并根据需要选择安装代理。 集中归一化和存储日志。 通过灵活的归档选项保护和加密日志档案。 有关重要事件的通知，例如严重错误和登录失败，以及实时电子邮件和SMS警报。 具有灵活的 日志搜索 选项的深入日志取证。 日志审计系统 二、EventLog Analyzer预定义的系统日志报告 EventLog Analyzer为来自Unix和Linux设备的系统日志提供了大量预定义的报告。Syslog报告可帮助管理员保护Unix和Linux设备免受内部威胁和外部突破尝试的侵害。 EventLog Analyzer EventLog Analyzer提供以下报告： 严重性：根据事件的严重性级别对所有事件进行分类。警告，严重和紧急事件可能表示严重的网络问题。如果不及时纠正，攻击者可能会利用其中的一些问题，例如网络基础设施中的缺陷，以获取优势。 系统事件：列出各种系统事件的发生，这对于识别需要进一步调查的异常事件很有用，例如意外关闭关键服务器或在奇数小时下载应用程序。 登录和用户帐户监视：显示成功和失败的用户登录，用户组更改以及密码更改尝试，这些尝试可能表明存在恶意的内部威胁或受损的用户帐户。 数据保护：审核所有数据系统，例如可移动媒体，网络文件系统和FTP操作。 审核sudo命令的使用：监视sudo命令的使用，该命令允许用户利用其他用户（通常是超级用户或其他受限用户）的安全特权。 邮件服务器审核：审核邮件服务器的活动，显示有趣的趋势或异常以进行进一步的调查，例如当特定域拒绝了几封电子邮件时。 网络错误：突出显示网络上的几种错误，例如反向查找错误或无效的连接错误。这些错误对于确定网络上的薄弱环节很有用。

  监控Microsoft Windows网络的众多 Active Directory 对象（组织单元、用户、组、计算机和GPO）和至关重要的‘访问权限’的更改是一个巨大的挑战。实时审核更改权限对于网络安全隐患方面的风险管理是非常必要的。通过本机方法保护Windows网络将需要管理员右键单击每个文件夹，点击属性，然后点击安全选项卡来分配权限。这个涉及组和用户的列表是访问控制列表(ACL)。想象一下，一位管理员为数百或数千个文件夹/文件执行这个过程，以及执行此过程将需要用到的许许多多的资源！ Active Directory 一、 Windows文件服务器 权限更改审核 ADAudit Plus 审核文件、文件夹和共享的Windows文件服务器权限更改。持续记录机密文件/文件夹并获得有关授权/未授权访问的即时告警。未经批准就进行从读到写的权限更改会导致出现不想要的AD更改。 事件存储为安全描述符字符串格式，这是在安全描述符中存储/移动信息的一种文本格式。该格式是以空字符结尾的字符串，带有令牌以指示安全描述符的四个主要组件：所有者(O:)、主组(G:)、DACL (D:)和SACL (S:)。 Windows文件服务器 二、实时审核报表和电子邮件告警 去除复杂性，无需再解释数千个复杂的安全描述符字符串并分析/报表它们。ADAudit Plus为您提供200多个简单、容易看懂的报表和即时电子邮件告警，包含每个事件的详细信息。例如：修改状态（已添加/移除权限）。使Windows Active Directory和 Windows文件服务器更改 审核自动化，通过数据治理、信息安全以及将报表导出为XLS、HTML、PDF和CSV格式获得完整的审核记录，以用于取证和 满足各种合规要求 。 ADAudit Plus 权限监控– 实时跟踪由管理员、用户、帮助台、人力资源等对Windows AD和服务器系统、配置和文件所作的修改。 仪表板视图– 已配置域的所有关键审核数据的单一视图。 报表与告警– 查看200多个预配置的报表，并为已监控文件夹/文件的更改设置电子邮件告警。 IT审核员– IT审核员登录时仅具有报表查看权限。 归档数据– 为安全和取证归档AD事件数据。 32位|64位– 支持32位和64位Windows平台。 导出报表和满足合规要求– 使用XLS、CSV、PDF和...

  欧盟制定了通用数据保护法规（ GDPR ），以解决组织今天所关注的最大问题：数据隐私。已经满足各种其他合规性要求的组织（例如PCI DSS，HIPAA和ISO 27001）可能仍然很难遵守GDPR的所有要求。 包含特定法规，使个人能够更好地控制其个人信息。 包括针对各种个人数据（姓名，电子邮件，IP地址，Cookie，射频识别等）的隐私权评估。 要求企业对其IT专业人员进行有关如何处理，存储和处理客户的个人数据以及审核策略的教育。 任务组织采取技术措施来预防和及时发现违规情况。 从2018年5月25日起，GDPR将取代欧盟现有的数据保护指令。组织现在需要改革其安全策略并采取技术措施，以便他们能够遵守此任务规定并避免巨额违规罚款（最高可达2000万欧元，占组织全球年度营业额的4％）。 GDPR 我必须采取哪些技术措施来符合GDPR？ GDPR坚持采取技术措施以： 确保数据处理系统和服务的完整性，机密性，可用性和弹性。 在发生技术事故时恢复可用性和访问个人数据。 在72小时内报表数据泄露。 为了满足上述要求，您应该部署一个安全解决方案，以监视存储个人数据的服务器上的访问和活动，并立即检测到任何违规行为（未经授权的访问和对个人数据的修改，特权滥用以及对个人数据的删除）。 个人数据存储 使用 ADAudit Plus 确保服务器上的个人数据安全 如果您将个人数据存储在Windows文件服务器中的文件和文件夹中，则ADAudit Plus是帮助您保护数据的理想解决方案。该解决方案附带预包装的报表，这些报表提供以下内容的完整审核记录： 用户访问权限（包括登录/注销和登录失败） 用户会话活动 此信息将帮助您确保只有指定的用户才能访问个人数据或对其执行操作。 windows文件服务器 使用ADAudit Plus检测数据泄露 暴力攻击检测： 暴力攻击是黑客获取系统访问权限的最常见方式。ADAudit Plus具有广泛的用户登录审核功能，可帮助您检测暴力攻击。深入了解： 密码或用户名错误导致登录失败。 基于域控制器和IP地址的 登录活动 。 帐户锁定，包括用户锁定时间，从哪个设备锁定以及他们的登录历史记录。 审核此信息有助于标记异常活动，这可以帮助您阻止暴力攻击。 暴力攻击 内部攻击检测 ： 监控内部威胁指标与检测外部攻击同样重要。 审核用户活动 （尤...

  来自 ADAudit Plus 的用户管理审计报表加快了按日期生成对 用户变更操作的报表 。该产品采用直观的设计，从域控制器的事件查看器的安全日志中抽取所需的用户审计信息。它还促进相关数据的即时可用性以满足内部审计要求。来自ADAudit Plus的用户管理报表允许管理员、IT管理人员或IT审计员、其他使用该应用程序的用户实时执行以下审计职责。 ADAudit Plus 查看用户对象生命周期变更 - 用户对象的创建、修改和删除。 确定负责对域中一个或多个帐户所作变更的管理员或非管理员用户。 查看特定于任何/每个 Active Directory 变更的报表。 监控最近的重要用户帐户变更。 跟踪用户的密码状态变更。 确定对用户帐户所作的最后变更或修改。 将报表导出为所需格式：xls、csv、pdf和html。 用来自归档信息的报表，对管理员、帮助台技术人员、人力资源团队或企业中任何所选用户所进行的操作维持责任性。 Active Directory 一、实时用户变更操作审计 用户生命周期变更 密码状态变更 用户状态变更 对用户的最后修改 用户管理活动 用户操作历史记录 用户生命周期变更，例如，用户已创建、删除或修改。在ADAudit Plus中以下提供的报表帮助下，这些变更抽取出来并按日期进行报表。 最近创建的用户 最近删除的用户 最近修改的用户 用户的密码状态变更，例如，密码已设置或已变更，以及帐户已锁定和解锁详情。这些变更用有关报表进行列示： 最近设置了密码的用户 最近变更了密码的用户 最近锁定的用户 最近解锁的用户 用户状态变更，例如，用户在所选时间段内已启用或已禁用。 最近启用的用户 最近禁用的用户 用户变更操作审计 二、其他用户管理报表 对用户的最后修改 它列出了域中所有用户的最新修改属性。修改时间和进行修改的用户也将列出。 用户管理活动报表 用户实施/管理活动报表列出了任何所选用户或技术人员对域中用户、计算机和组进行的所有实施/管理操作。它全面地以容易理解的饼图形式显示用户执行的操作。用户管理操作（例如，用户帐户已变更、删除、禁用、启用，密码已设置和帐户已锁定）、计算机管理操作（例如，计算机帐户已变更、删除或启用）、对通讯组和安全组所执行的组管理操作通过图表进行审计、报表和突出显示。 AD域审计 用户历史记录报表 用户历史记录报表提供了有关对所选...

  检测黑客和内部人员的活动绝非易事。企业可能拥有最好的网络安全解决方案来检测网络异常并减轻这些异常，但企业资产仍会继续受到影响。保护您的网络不受任何攻击是不可能的，但有一个可靠的来源可帮助您追踪黑客和内部人员的活动 - 您的日志数据。IT管理员需要通过搜索他们的日志数据来进行取证调查，以追查网络入侵者和网络问题。您的日志数据详细记录了网络上发生的所有活动。IT管理员应该利用他们机器生成的日志数据提供的网络安全情报。 内部威胁 手动搜索您的日志数据是不可能的，因为您必须要浏览数千个事件记录。如果您能通过输入某些关键词在几秒钟内获得您正在搜索的内容，那岂不是很棒? 这将完全消除您手动搜索日志的痛苦过程。使用 EventLog Analyzer 的 日志搜索功能 ，您可以获得所需的精确信息，并采取主动措施来保护您的网络及减轻网络威胁。 日志搜索 一、EventLog Analyzer的日志搜索引擎 EventLog Analyzer的日志搜索功能非常简单，并允许您进行自由格式搜索。当用户在搜索栏中输入搜索条件时，EventLog Analyzer会快速搜索到原始日志并检索搜索查询的结果。搜索标准可以由通配符、短语和Boolean运算符。EventLog Analyzer还允许您执行分组搜索和范围搜索。在进行搜索时，EventLog Analyzer不会将您限制为一组预定义的字段。您可以使用事件ID、严重性、来源、用户名、IP地址等或全部组合来进行搜索以满足您的搜索要求。 EventLog Analyzer的日志搜索可帮助用户执行 日志取证分析 。使用EventLog Analyzer的日志搜索功能，用户可以轻松深入查看在万亿字节的原始日志数据并获取他们正在查找的内容。 日志搜索引擎 二、使用基本搜索和高级搜索进行日志搜索 EventLog Analyzer提供两种不同的日志搜索功能，即基本搜索和高级搜索。这两种搜索功能均可为日志数据提供强大的日志搜索功能。 EventLog Analyzer的基本和高级搜索让网络管理员能够准确找到导致发生安全活动的确切日志条目，查找相应安全事件发生的确切时间、发起活动的人员以及发起活动的位置。 日志搜索功能 三、基本搜索 EventLog Analyzer的基本搜索允许用户通过在搜索框中输入搜索查询来搜索任何内容。在输入搜索查询...

  构建犯罪现场以寻找安全漏洞的根源 大多数情况下，公司无法追查发起网络违规的网络入侵者。尽管采取了最好的预防措施来防止发生攻击，但不可能保护您的网络免受任何攻击。所有的攻击者都会留下痕迹，并且您的 事件日志数据 和 syslog数据是可以帮助您识别违规原因的唯一因素，甚至可以缩小范围告诉您谁发起了违规。日志数据取证分析报表可作为法庭的证据。 日志分析报表 每次在网络上发生活动时，包含网络设备（如路由器、交换机、防火墙、服务器等）的网络基础设施都会生成 事件日志数据和syslog数据 。事件日志数据和系统日志数据活动记录就像访问网络设备和应用程序的每个人留下的数字指纹。这些数字指纹可以告诉您网络活动在何时启动、之后发生了什么以及是谁启动了该活动。这些数字指纹将帮助您构建整个犯罪现场。 数据指纹 在没有适当的日志取证工具的情况下，手动对您的事件日志数据和 syslog数据进行取证是痛苦且耗时的。此外，您需要确保日志数据能得以安全储存且不被篡改，以便进行准确的日志取证分析。 用于日志取证的 EventLog Analyzer EventLog Analyzer允许您集中收集、归档、搜索和分析从各个系统、网络设备和应用程序获得的机器生成的日志，并生成取证报表（如用户活动报表、系统审核报表、监管合规报表等）。 EventLog Analyzer 此 日志分析 和 合规报表 软件可帮助您对这些收集的日志进行网络取证，并检测网络或系统异常情况。这些机器生成的事件日志和syslog将被归档用于将来的取证分析，并且还将对其加密以确保收集的系统日志不被篡改且安全储存。您可以深入查看原始日志事件并在几分钟内完成根本原因分析。 日志分析 使用日志搜索进行取证分析 EventLog Analyzer通过以下方式非常轻松地进行取证调查：允许您使用其强大的日志搜索引擎同时对原始日志和格式化 日志进行搜索 ，并根据搜索结果即时生成取证报表。此日志取证软件让网络管理员搜索原始日志以准确找到导致发生安全活动的确切日志条目，查找相应安全事件发生的确切时间、谁启动该活动，以及该活动发起的地点。 EventLog Analyzer的这一搜索功能将帮助您快速追踪网络入侵者，对执法部门进行取证分析非常有用。通过搜索原始事件日志，可导入已归档日志并执行安全事故挖掘。这使得取证调查变得容易，否则这是一项需...

  威胁可能来自内部或外部用户，因此监控用户活动的每分钟细节对于减轻威胁来说至关重要。大多数严重数据泄露事件的原因都在于企业没有监控用户尤其是 特权用户 （内部用户）的会话活动。 IT安全专业人士需要依靠用户审核线索来获得关于企业网络系统用户活动的安全情报。如果黑客确实入侵了您的一台计算机，那么用户审核线索将会提供最有价值的信息，将有助于日志取证调查，提供从登录到注销的完整活动时间线。 特权用户审计 使用 EventLog Analyzer 获得完整的用户审核线索 EventLog Analyzer可实时监控用户会话，通过跟踪用户在网络上的活动来帮助检测是否存在系统和数据滥用情况。它可以实时监控所有用户，提供详尽报表，对用户从登录到注销期间的所有用户活动进行完整的审核线索。通过使用EventLog Analyzer，IT安全专业人士可实时获取严重事件的准确信息，如用户登录、用户注销、登录失败、成功清除的审核日志、审核策略更改、所访问的对象、用户帐户更改等。 EventLog Analyzer IT安全专业人士现在可以监控和分析企业中网络用户的会话活动用户审核线索，以便实时检测是否存在恶意活动和安全违规行为。EventLog Analyzer的审核线索监控可确定执行异常行为的用户，无论是内部用户还是外部攻击者。 EventLog Analyzer还可通过跟踪特权用户活动生成特权用户监控和审核(PUMA)报表。 EventLog Analyzer用户会话跟踪的优势 完整的用户审核线索–获取所有用户活动的完整时间线，以确定所发生的事件，以及导致发生这些事件的用户。用户审核线索回答了所有网络活动的“谁、什么、何时、何地以及如何”的问题。 网络事件重建–通过分析用户活动时间线，重建整个网络事故，以确定网络问题的发生过程、发生时间和发生原因。 前瞻性威胁检测–实时检测和分析恶意用户的行为模式，阻止他们未经授权访问您的关键网络资产。

  在上一章中，我们为大家介绍了SIEM系统可以为企业带来哪些价值，今天我们将围绕这一话题继续探讨。 SIEM 系统通过订阅威胁情报以及对用户和实体行为进行高效分析( UEBA )，能够呈现整个IT基础架构中发生的事件，主动对潜在威胁进行干预，极大的降低网络攻击事件给企业造成的危害。 SIEM系统 特权访问审计 特权帐户是指具有管理员特权的帐户。特权账户可以安装、删除或更新软件；修改系统配置；创建、修改或更改用户权限等。如果特权用户账户被盗，攻击者就会获得网络资源访问权从而危险到企业的网络安全。因此，我们有必要时刻确保特权用户的网络安全性。 特权帐户拥有管理网络中其他用户的权限。所以，监控特权用户有助于跟踪和防止不当的用户赋权行为，从而引发内部攻击。 SIEM解决方案可以跟踪和审计特权用户的活动，并针对其异常活动发出实时告警，进而增强网络安全性。 特权访问审计 威胁情报 威胁情报是指在网络攻击发生前做出的反应。威胁情报可通过从证据、上下文信息、指标和各种威胁响应中收集来的情报来生成具体的危害指标(IOCs)实例。它还可以提供有关新出现的威胁所涉及的技术和程序(TTP)的信息。威胁情报结合了人工智能(AI)和机器学习(ML)工具来区分网络中的规则和不规则模式；通过监控当前的网络活动来发现异常模式，防止网络安全受到威胁。 威胁情报 使用卓豪的 Log360解决方案 借助高效的安全信息和事件管理(SIEM)解决方案Log360，您可以: 通过审计日志，发现设备中存在的漏洞，并生成可视化的报表。 发现潜在的恶意软件迹象后，立即触发告警。 当网络中发生重大变化时，如安装新服务器、修改注册表、创建未经授权的文件或创建恶意程序等，会收到告警。 触发自动补救脚本以防止“勒索病毒”攻击。 通过分析日志记录追踪攻击的来源，对安全事件进行取证调查。 这么多强大功能，居然还能免费用30天！绝对的干货，赶紧收下吧！