运维有小邓

  由于其的良好的可扩展性和优质的事件处理效率，云技术已成为现代企业的必备的管理技术之一，目前他已经成为所有行业及企业的热门选择。然而，攻击面积的增加以及不针对云技术衍生出来的多类攻击方式，使许多企业更容易受到威胁和数据泄露。云安全形势一直面临巨大考验，因此采用强大的 云安全策略 对于各种规模的企业都至关重要。 云安全 我们最近的《2023年云安全展望》报告提供了未来云安全方向的见解和预测。它旨在让相关从业者及各类企业领导了解云中不断变化的安全格局，根据来自美国各个行业（包括医疗保健、金融服务、制造和政府等）500 多名IT专业人士的意见分析得出： 一、2023年的关键云安全威胁 根据 Cloud Security Outlook 2023 报告，云中的主要安全问题是 数据泄露 和网络攻击等网络隐患。调查参与者认为云帐户泄露是影响云安全的最大威胁，目前站导致云安全事故的35%，其次是恶意或不受信任的应用程序未经授权的访问占23%，来自内部用户的威胁占4%。 总之，基于身份的安全威胁是最令人担忧的问题。随着企业网络服务向云上的转移，基于身份的攻击激增，这可能是由于跨组织的云用户和身份增加以适应远程和混合工作环境所导致的结果。这些担忧是能在云中更好的进行安全防护的关键驱动因素。 Cloud Security Outlook 2023 二、云战略和运营的转变 多云和混合云的不断增加，从而带来更复杂的安全挑战。调查结果显示，72% 的企业选择多云应用程序，而 23% 的企业计划在未来24个月内采用云技术。该报告强调，企业也在寻求实施不仅技术上可靠，而且灵活和可扩展的安全措施，从而跟上不断增长的云服务市场的步伐。 三、通过集成解决方案提高云安全性 为了应对这些挑战，企业越来越多地转向云访问安全代理 (CASB)，它提供对云网络的可见性并有助于防止网络攻击。其主要安全措施包括： 多重身份验证 (MFA) 云加密 访问控制 零信任安全模型 将CASB与其他安全工具集成作为一种安全策略是满足未来市场需求的前进方向。集成的安全解决方案还提供跨所有云平台的可见性和安全防护，因为新的数据隐私法律和法规需要一个全面的策略。 总之，《2023年云安全展望》报告强调了在云中采用强大安全措施的重要性。企业必须保持领先地位，探索最新的趋势和技术，以帮助保护他们的数据和应用程序。 随着云计算...

  大多数数据泄露属内部人员而为，但各企业在监控内部网络活动方面仍存在不足。 无论是大型还是小型企业，监控内部网络活动已成为其主要要求。要保护网络安全以防范泄露和威胁，各企业需要采取积极的措施来保证其网络和数据的安全性。 监控事件日志 是最准确的方式来检测网络异常、数据泄露尝试及跟踪网络入侵者。 通过监控事件日志数据来缓解内部人员威胁 大多数企业的网络环境包括Windows服务器和工作站。Microsoft Windows操作系统生成和种事件日志。如果这些日志受到监控，则可帮助网络管理员保护其网络安全以防范内部威胁，并执行日志取证调查。事件日志包含重要的信息，例如，登录失败、访问安全文件的失败尝试、安全日志篡改等，这些信息帮助您保护网络安全以防范网络威胁。 事件日志 EventLog Analyzer自动执行事件日志监控 EventLog Analyzer  - 一款事件日志监控软件，可提供对事件日志的完全监控。它收集、分析、报表并归档由企业Windows网络（即服务器和工作站）生成的事件日志数据。此事件日志监控软件与不同操作系统生成的所有格式的Windows事件日志（EVT和EVTX）) 兼容。这些操作系统如下： Windows 2003 Server Windows 2008 Windows NT Windows 2000 Windows XP Windows Vista Windows 7 所有其他Windows操作系统 事件日志数据用无代理技术从所有Windows机器中收集。事件日志数据在中央位置进行监控和分析 - EventLog Analyzer Server 机器。此Windows 日志监控软件 能够监控网络中所有Windows服务器和工作站的事件日志，并在网络中出现网络异常时用短信或电子邮件提醒您。 EventLog Analyzer EventLog Analyzer - 事件日志监控工具优势： 无代理事件日志收集 - 能够以EVT和EVTX日志格式收集、规范化、监控、分析、报表和归档Windows事件日志文件 分析事件日志数据并针对 监控合规审核生成报表 Windows事件日志数据的中央存储库 检测诸如失败的登录、对象访问、清除审核日志之类的网络安全事件 内置智能威胁检测器，检测并阻止网络入侵者 监控外部威胁智能解决方案 兼容所...

  日志是网络活动的重要依据，包含了关于您网络上所有用户和系统活动的详尽信息。基本日志分析可帮助您轻松地对数百万个日志进行分类，并挑选出可以表明存在可疑活动的日志，识别与正常网络活动不符的异常日志。 通常，单独查看某个日志可能看起来完全正常，但如果结合一组其他相关的日志，就可能得到潜在的攻击模式。 EventLog Analyzer 的关联引擎发现了来自网络上多个设备的日志序列，这表明存在可能的攻击，并会迅速向您发出告警表知该威胁。它的功能让您不局限于分析日志，并主动采取措施来抵御攻击。 EventLog Analyzer EventLog Analyzer 日志关联 EventLog Analyzer强大的关联引擎可高效识别您日志中已确定的攻击模式。其关联模块提供了多个有用的功能，包括： 预定义规则： 利用产品附带的20多个预定义的攻击模式（或规则）。 概况仪表盘： 浏览易于使用的关联仪表盘，其中针对各个攻击模式均提供了详细报表，还针对所有已发现的攻击提供了概况报表，可帮助进行深入分析。 时间线视图： 浏览易于使用的关联仪表盘，其中针对各个攻击模式均提供了详细报表，还针对所有已发现的攻击提供了概况报表，可帮助进行深入分析。 直观的规则生成器： 浏览易于使用的关联仪表盘，其中针对各个攻击模式均提供了详细报表，还针对所有已发现的攻击提供了概况报表，可帮助进行深入分析。 字段筛选器： 对日志字段设置约束，以对已定义的攻击模式进行细粒度控制。 即时告警 ： 设置电子邮件或短信通知，这样当系统识别出可疑模式时，您会立即收到告警。 规则管理： 在一个页面上便可启用、禁用、删除或编辑规则及其通知。 列选择器： 通过选择所需列并按需对其重命名，以控制各报表中显示的信息。 计划报表： 设置计划来生成和分发您所需的关联报表。 关联日志 使用直观的界面创建规则 通过其规则生成器界面，EventLog Analyzer让新的攻击模式创建过程如此简单。 使用一百多个网络操作来定义新的攻击模式。 拖放规则以调整某个模式所包含的操作，以及所采用的顺序。 使用筛选器限制特定的日志字段值。 指定触发告警的阈值，如操作的发生次数或操作之间的时间帧。 为每个规则添加名称、类别和描述。 编辑现有规则以微调您的告警。如果您注意到某个特定的规则生成的误报过多或未能识别出攻击，您可根据需要轻松调整规则...

  Windows 设备是大多数企业网络中最受欢迎的选择。为了处理这些设备生成的数 TB 的事件日志数据，安全管理员可以使用 EventLog Analyzer ，这是一个强大的 日志管理工具 ，提供端到端的 事件日志管理 。该解决方案可以自动化流程，包括收集网络中的日志，并在预定时间归档这些日志。 EventLog Analyzer 以下部分涵盖了事件日志管理中涉及的各个步骤，并解释了 EventLog Analyzer 如何处理这些步骤。 一、事件日志收集 事件日志管理工具的一个重要功能是从每个可能的来源收集事件日志。EventLog Analyzer 的事件日志收集功能非常出色，支持无代理和基于代理的日志收集方法。 二、事件日志过滤器 网络中生成的大多数事件日志表示日常活动。这带来了两个挑战： 发现提供安全信息的事件日志。 维护用于保存所有收集的事件日志所需的存储空间。 为了应对这些挑战，EventLog Analyzer 提供了事件日志过滤器，可用于对收集的日志进行排序，以查找从安全角度来看具有重要意义的日志。这些可自定义的过滤器基于事件日志源、用户或日志组件。所有事件日志都可以通过 EventLog Analyzer 自动存档以备将来参考。 日志过滤 三、事件日志解析器 为了从收集的事件日志中获得最大收益，日志管理工具解析事件日志至关重要。EventLog Analyzer 有一个内置的事件日志解析器，可以对事件日志进行规范化、解析和索引。 通过例子理解解析 让我们记录一个包含设备名称和用户名的日志；虽然这些信息很容易获得，但不清楚哪个名称是给设备的，哪个是给用户的。EventLog Analyzer 的事件日志解析器将事件日志分解，以便不同的信息（例如，设备名称和用户名）各自显示为自己的日志，然后将它们分组到适当的部分。 四、事件日志分析和关联 日志分析对于事件日志管理工具作为一种有效的安全工具执行非常重要。EventLog Analyzer使用其日志解析器加速 事件日志分析 。EventLog Analyzer 的关联引擎进一步加强了这一点。 关联日志 EventLog Analyzer 的关联引擎可以通过自动从其数据库中检索事件日志并将它们与来自其他来源的格式化日志进行比较，从而使您免于手动关联日志数据的繁琐过程。这将有助于检测可能代表网络攻...

  从交换机到路由器，几乎所有网络设备都会生成 syslog 。因为您的网络中有大量生成syslog的设备，所以审计过程（包括跟踪、监控和分析所有syslog）需要花费大量时间和精力。但是，无论这些任务需要多少精力去完成，您的机构都不能跳过这些设备的系统审查。审计有助于识别网络安全漏洞、加强网络安全策略、提高网络性能并缩短系统停机时间。 syslog EventLog Analyzer 会自动收集和分析来自所有网络设备的syslog数据并为每个设备生成审计报表，从而减轻网络设备审计带来的压力。 EventLog Analyzer的审计报表 是预定义的和可定制的、可安排自动传送、可以多种格式提供，最重要的是易于理解。通过创建可通过短信或电子邮件发送实时通知的告警，您可监控网络中发生的关键事件。 EventLog Analyzer 除了审计报表和实时告警之外，EventLog Analyzer还可对所有syslog数据进行安全归档以备将来使用。发生安全事故时，请使用 日志搜索 功能深入了解具体事故以回溯攻击途径。这类取证调查有助于减轻威胁并针对更深入问题进行积极防御。EventLog Analyzer可以让您实时掌握所有网络活动的情况，从而让您全面掌控网络设备。使用EventLog Analyzer审计网络设备的其他优势包括： 可定制的中央仪表板。 预定义的和可定制的审计报表及合规报表。 能够跟踪与帐户管理、特权用户帐户、网络文件系统以及用户登录和注销活动相关的关键事件的能力。 进行安全的、加密的和灵活的日志归档。 通过电子邮件或短信发送的有关所有关键事件的实时告警。 用于执行日志取证的高级日志搜索选项。 EventLog Analyzer支持来自所有网络设备（包括Unix/Linux机器、VMware和IBM AS/400/iSeries机器）以及运行macOS的计算机的syslog数据。EventLog Analyzer为所有这些设备提供超过130个报表，这些报表按如下形式分类： 登录和注销报表： 监控所有用户登录尝试，并识别成功的或失败的登录的趋势。查看哪些用户已登录以及他们使用的登录方法，包括SSH、SU、FTP和通过远程设备登录。 用户帐户管理报表： 查看所有基于用户的信息，以跟踪新的、已删除的、已禁用的和已重命名的用户和帐户，以及密码修改和用户权限级...

  网络攻击在过去几年中愈演愈烈，因为攻击者经常即兴发挥，随时变换他们的供给形势以防止管理员能够及时有效扼制其进行的攻击行为。对于那些没有做好有效防护的小型企业，一些 勒索软件 的攻击使其很难进行防护，其可对企业造成毁灭性后果。这反应了传统的安全系统和方法如何不再能够跟上不断变化的威胁形势。 ManageEngine  Log360  如何帮助企业网络安全状态保持领先地位 在如今这样多变的网络环境中，网络安全人员在工作中经常面临着重大挑战，包括远程和混合工作模式、突然的云采用以及严格的数据隐私和合规性要求。ManageEngine的SIEM产品 Log360已经完善其安全防护形式以满足市场需求并帮助企业领先于这些挑战。 网络安全分析师研究满足市场需求的不同安全工具，帮助企业选择适合其独特需求的正确解决方案并加强其企业内部安全。以下是 Log360 2022年收到不同分析师的评价。 Log360 2022年Gartner® 安全信息和事件管理魔力象限™ 这是ManageEngine连续第六年进入Gartner安全信息和事件管理(SIEM)魔力象限。在过去两年中，为了支持远程和混合工作模式，并转向云端以实现无缝且低成本运营，网络安全市场受环境影响发生了巨大变化。然而，云上转移也给企业带来了巨大的挑战：恶意攻击激增。Log360安全性防护能力确保企业轻松完成云上部署，而不会影响用户体验。 Gartner® 根据该报告，Gartner基于以下优势认可了Log360产品。 云安全功能：ManageEngine 现在提供CASB功能，可在Log360的云版本中访问。他提供了检测未经授权的云应用程序并停止使用任何被禁止的应用程序的能力。 易于实施和操作：Gartner 的Peer Insights对ManageEngine 轻松部署和使用SIEM工具的能力的评价是积极的。 本机数据隐私和保护功能：ManageEngine提供数据加密、屏蔽和混淆功能，符合通用数据保护条例(GDPR)隐私和数据保护要求。 用于自动化安全运营管理的2022 GigaOm 雷达 “ManageEngine 的产品套件是安全信息和事件管理的瑞士军刀，”Gigaom 分析师 Logan Andrew Green 在报告中写道。 ManageEngine的SIEM模块化方法被列为优...

随着企业网络逐渐迁移到云端，各种网络服务也随之迁移到云端，包括 SIEM 等网络安全解决方案。事实上，作为传统的本地SIEM 解决方案的替代方案，SIEM的利用率正迅速崛起。Gartner预测到 2023 年，80% 的SIEM解决方案将具有通过云交付功能。 但什么是云SIEM，它与本地SIEM有何不同？企业如何从部署SIEM是否会获益？本篇文章旨在回答这些问题。 Gartner 什么是云SIEM 解决方案？ 云SIEM解决方案，也称为云原生SIEM，是托管在云中的SIEM解决方案。与传统SIEM非常相似，它可以执行所有SIEM功能，例如 管理和存储日志 、监控网络流量、检测和解决网络安全事件以及证明合规性——但所有这些功能都来自云端。与本地SIEM解决方案相比，云 SIEM解决方案在跨本地和云环境管理网络安全和合规性时提供更大的灵活性、易于访问和更快的价值实现时间。 以下是云 SIEM 解决方案相对于本地 SIEM 解决方案的五个优势，可帮助您评估云SIEM是否可以满足您企业部署要求。 SIEM 1. 上手简单快捷 您是否知道超过40%的SIEM部署需要三个月以上才能完成？ 云SIEM解决方案在所有企业中的最大优势之一是设置速度更快。无需运输、安装和复杂的配置过程，企业可以比传统SIEM更快地开始看到云SIEM的价值。 使用ManageEngine的 Log360 Cloud ，您需要做的就是在您的网络设备上创建一个账户并配置代理。如果您希望监控您的AWS环境，您需要设置一个云帐户。就是这样！ 2. 与云端SIEM解决方案不同，本地SIEM解决方案需要高端硬件资源 SIEM 解决方案是资源密集型的，这意味着它们需要大量的功能和存储内存。企业将不得不投资高端机器来托管本地SIEM解决方案，以确保主机可以处理SIEM操作。虽然这对于大型企业而言可能不是问题，但对于网络安全预算有限的小型公司而言，预算问题可能就是SIEM部署的主要障碍。 云SIEM解决方案通过在云中托管解决方案来解决此问题。用户只需为日志存储付费。 3. 您可以扩展网络架构而不会浪费时间或担心日志量 由于SIEM解决方案通过从网络收集日志数据来发挥作用，因此每天都会处理大量日志数据。使用本地解决方案，很难适应日志量的突然激增。当您的企业正在考虑扩展时，这会成为一个更大的问题。 云SIEM解决方案 云原生...

  每天，Sophos防火墙都会生成大量的syslog数据，很难独自监控它们。借助 EventLog Analyzer ，您可以存档 系统日志 以满足合规性要求，并进行彻底的取证调查，以在发生任何问题（例如网络入侵）时获得宝贵的见解。 syslog EventLog Analyzer可以为您筛选日志，使您可以密切关注网络中发生的关键事件。快速为您所有的Sophos防火墙运行预定义的报告，以及其他网络设备供应商的报告。将每个报告与实时警报相关联，以立即检测和缓解安全威胁。 除了报告和实时警报之外，您还可以使用EventLog分析器中的 日志搜索 功能回溯安全事件，以进行全面的法医调查。借助所有这些功能，您可以始终处于循环状态，以便实时了解所有网络活动，从而可以完全控制Sophos防火墙日志。 防火墙日志 一、EventLog Analyzer的现成Sophos网络安全设备监视报告 登录监视报告：这些报告列出所有成功登录到防火墙的主机以及登录次数最多的主机和用户，以帮助您确定登录模式的趋势。 登录监视失败报告：类似于成功登录报告，这些报告列出了所有失败的登录尝试到防火墙以及登录失败次数最多的主机和用户。您还可以查看报告，以识别失败的登录模式的趋势。 关于允许流量的 报告：这些报告详细说明了通过防火墙进入网络的所有连接，因此您可以更轻松地识别流量模式和趋势。 关于拒绝连接的报告：与允许的流量报告类似，这些报告详细列出了所有被拒绝访问网络的连接，并为您提供了流量模式和趋势。 IDS / IPS报告：这些报告不仅列出了可能的攻击和严重的攻击，还识别了攻击尝试中最频繁涉及的源设备和目标设备。您还可以查看攻击趋势报告。 严重性监视报告：这些报告按严重性对日志信息进行分类，对于单击一次访问所有事件（包括紧急事件，错误，严重，警报，警告，通知，信息和调试）很有用。 二、EventLog Analyzer的主要功能： 用户友好的界面和直观的仪表板。 Sophos防火墙提供了60多个现成的报告，可帮助进行安全性和合规性审计。 易于自定义的报告模板，可以满足内部策略需求。 自定义 合规性报告 ，可以满足日益增长的合规性标准。 有关配置更改和感兴趣的事件的实时电子邮件和SMS警报。 使用高速日志搜索引擎进行强大的日志取证分析，该引擎使用各种搜索算法，包括布尔，范围，通配符，组搜索等。...

  随着公司逐渐实现IT空间的虚拟化，虚拟环境日志监控在日志管理中占据了很大的份额。除了确保网络安全外，VM 日志监控 还有助于管理虚拟化工具，这被认为是最复杂的任务之一。除了通过收集、分析、审查和存档VM日志来防止安全威胁之外，VM日志管理还有助于： 跟踪VM资源使用情况和运行状况 识别VM停机的根本原因 VM资源规划和管理 解决资源分配问题 虚拟环境日志监控的优点很多，然而挑战也同样很多。虚拟基础设施中资源的异质性使 日志收集 和审查变得困难。 日志采集 EventLog Analyzer 通过集中收集、规范化、分析、监控和归档虚拟机日志，简化虚拟基础设施日志监控，并在出现可疑活动时生成报表并触发告警。 使用EventLog Analyzer进行虚拟环境的全面监控 目前各公司的首选虚拟平台是VMware。EventLog Analyzer可监控VMware的各个组件，从单个ESXi设备到vCenter服务器，均囊括在内。 监控ESXi设备： EventLog Analyzer通过其syslog服务器自动接收ESXi设备的日志，而无需配置任何设置。该解决方案会在客户登录、虚拟机创建、删除和状态更改时生成报表和告警，以帮助更好地了解用户活动和进行资源管理。 监控vCenter服务器： 尽管监控ESXi设备会提供有关各个VM状态的信息，但要全面了解虚拟环境中发生的所有操作，您还需要监控vCenter服务器。自行监控vCenter服务器有助于监控已部署的虚拟数据库存储和服务器代理上的活动。EventLog Analyzer收集、分析和监控vCenter服务器日志，并生成直观的丰富报表，提供有关整体资源利用率、各个虚拟机的访问控制、VM的配置和权限更改的信息。 EventLog Analyzer 想了解关于EventLog Analyzer产品的详细功能信息。请持续关注“运维有小邓”，小邓将带您了解更多IT运维新知识！

  内部安全的重要性无论大小，每个拥有IT基础设施的组织都容易发生内部安全攻击。您的损失等同于黑客的收益：访问机密数据、滥用检索到的信息、系统崩溃，以及其他等等。专注于网络外部的入侵是明智的，但同时，内部安全也不应忽视。广泛的调查表明，大部分的安全政策违规都发生在企业内部。作为实现内部安全的主动措施，您的组织必须监控记录为事件日志的每个系统活动。信息系统管理者一直背负着管理大量事件 日志收集 、为安全目的和系统性能对安全日志进行分类的压力。 内部安全 通过 EventLog Analyzer 解决安全日志管理挑战 要建立强大的安全 日志管理 基础，您需要花费大量的时间和精力。细数您的理由： 安全事件不是偶然的。您可以很好地防止您的安全数据被盗窃。 不断发展的合规法规可确保您的IT基础设施将信息安全掌握在他们的手中。您的组织必须遵守针对内部安全设定的法律。 有益于在指定的时间段内存储关于事件的充足信息 满足日益增长的日志需求并对这些事件日志进行分类以确定与运行、合规性和安全原因相关的安全活动 保护您的机密企业信息免遭未经授权的披露（这可能会对您的网络安全造成威胁）。 报表员工滥用限制访问信息 包含内置的威胁情报 并针对恶意的IP和URL向您发出告警 防止几种常见的致命攻击，如拒绝服务、SQL注入等 通过检测异常和攻击来保护您的业务关键应用程序 保护您的网络设备，包括路由器、防火墙和IDS /IPS 解决监管要求、协助进行取证分析并近乎实时地识别IT问题，为解决这些问题提供便利 安全盗窃是一种企业威胁，从盗窃中恢复十分昂贵，然而却是企业为了确保其业务连续性而不得不进行的操作。投资安全日志管理工具是明智和值得的。 通过确保电子客户信息的安全性，您可以获得信任、永久的业务关系、改善收入以及增强客户体验 如果不合规： 您的组织将因客户证书被盗、数据泄露以及未遵守政府制定的监管标准而受到处罚。 IT合规 成功解决方案： 将安全日志管理服务纳入您的业务模型中。在让其负责保护您的IT网络之前，对安全日志管理服务提供商进行评估是十分重要的。您需要询问并了解会提供哪些工具来保证检测和监控您的IT环境。使用EventLog Analyzer确保安全地进行安全日志管理。 为什么选择EventLog Analyzer：您最佳的选择 要在您的组织中包含安全日志管理，您的审核计划需要含有...