为什么事件响应中日志总是不够用？

安全事件发生时，响应团队经常面临同样的窘境：缺乏可用的日志。在缺乏日志和配置糟糕之间，企业往往比想象的还要盲目，直到网络攻击事件将残酷的真相摆在眼前。 

日志就是存储计算机系统或应用程序中各事件操作的文件。尽管相当简单，事件日志却是安全分析师确定网络安全事件原因、性质和影响的主要信息来源。然而，此类文件却常常缺失，甚至根本不存在。

而且，日志缺乏并非什么秘密。大多数事件响应人员都认为，如果从一开始就有合适的日志可用，他们的响应速度会快上许多；但通常，他们拿不到合适的日志。

最令人惊讶的是，系统管理员只有在事件发生后才会意识到自己极其缺乏日志。这导致根源分析往往需要事后取证，而不是立即采取行动。此外，取证分析师常常需要花费相当长的时间来确定攻击的范围。更糟的是，有时候甚至开展不了全面分析，因为根本没有收集合适的信息，更别说存储足够长的时间了（被覆盖）。  

情况怎么就变成这样了呢？我们不妨分析一下为什么这么多企业的日志管理策略不足，以及该如何在网络事件发生前解决这一问题。  

默认设置导致安全失败 

现实情况就是，只有极少数企业实现了真正的日志策略。企业的日志计划往往按默认配置执行：只生成最基本的日志，且设为覆盖模式以节省存储空间。他们的想法是这样可以只保存最有用的信息。然而，只取“最小公因数”的做法并不能总是满足企业的网络安全需求。 

由于各产品本地生成日志（管理员往往不知道在哪儿），缺乏集中日志的状况使得发现网络攻击的过程更加复杂了。通常，发生安全事件时，IT部门并没有准备好响应事件响应团队的请求。因为无法确定受影响IP上是哪台机器或哪位用户，企业难以断定事件是怎么发生的，也无法确定对网络的影响有多大。 

所以，即使管理员重定向到中央日志服务也无济于事。他们需要收集所有日志，并将日志设置为审计和详细级别。这是两个经常被忽略的设置选项。企业并不记录真实数据，而是存储通用的“启动”和“停止”操作，表示某个软件被打开和关闭，毫无任何细节，不收集诸如“用户‘黑客’启动了Y程序”和“用户‘黑客’将文件复制到X共享位置”之类的安全事件。

若说缺乏日志和信息受限本身还不够无能为力，那权限被盗就更心塞了。如果没有恰当的日志策略，相应账户就可以删除或者篡改可用日志。一旦这种账户被盗，攻击者就能够清除日志中最有用的信息，给事件调查制造麻烦，甚至让调查根本无法进行。  

创建有效日志策略 

确定有效的日志策略是强大事件响应计划的关键。日志策略因公司及其信息系统的敏感度而异。此外，日志本身也需受到保护。问题在于，企业需要来自所有系统、云、本地、混合或应用的收集器，且须可在单一位置聚合和搜索。这些同样需要受到保护，想想过去10年来最臭名昭著的数据泄露事件都涉及不安全日志就知道该怎么做了。

企业拿到日志后需加以审核，并组织一些桌面推演，尝试利用日志来标识活动。这么做可以帮助企业团队理解为什么通过单一接口发起对所有日志的查询可以倍增有效性，并将干预时间缩短好几天。 

实现特权账户特殊监测也很重要，这样可以确保记录下特权事件。特别监测特权账户的目标是拥有足够的事件来记录整个会话，方便确定管理员或特权账户执行的操作。通常，如果没有审慎考虑，会缺失成百上千的关键事件。通过设置专用解决方案长期（一年以上而非仅90天）保存来自各个系统的日志，IT团队可以确保拥有恰当分析事件的足够资源。

强大的日志策略并非全新概念，但如果企业忽视了日志，那就只能坐等网络攻击上门时不知所措了。实现坚实的日志策略不仅能让企业快速有效响应危机，还可以加速解析事件根源。