日志管理工具和SIM整合设备安全架构

申请免费试用、咨询电话：400-8352-114

没有人怀疑日志文件——所谓的计算系统的黑匣子——可用于各种用途：故障诊断、监视合规遵从性、分析到您的网站的流量。日志文件忠实地记录发生在服务器、网络设备和一些应用程序中的事情。我们面临的挑战是如何有效地解开这个信息宝库（有时是粗糙的）。对于Larry Whiteside来说，被迫寻找正确的日志管理工具。　　

Whiteside是纽约探访护士服务（VNSNY）的首席信息安全官（CISO）。有效地分析组织的日志文件不仅让他了解他的计算环境，而且它也构建了他需要用来在最重要的问题上和他的商业伙伴有效地沟通的指标。

大约130,000病人的病历和信用卡数据落入VNSNY的关注中。该组织必须遵守健康保险流通与责任法案（HIPAA）、支付卡行业数据安全标准和萨班斯-奥克斯利法（Sarbanes-Oxley Act）。

Whiteside说：“归根结底，他们希望能够看到我试图去建立的安全指标意味着什么。无论你是不知道如何使用电子邮件的董事会成员还是超级技术人员，他们理解的一件事是HIPAA标准”。

作为该组织的首任CISO，当Whiteside 于2007年12月抵达VNSNY时，他的首要任务是数据管理。但是，实行数据管理，VNSNY首先必须知道正产生了什么样的数据、数据去哪儿了以及谁在处理如山般的信息。

作为全国最大的非营利家庭健康护理提供商，VNSNY从4000名具有平板电脑的移动护士收集数据。它有8000个技术账号、325台服务器和额外的 3500个终端。从防火墙到桌面，Whiteside想深入洞察系统数据、观察在网络上的实时活动记录，并需要一种关联这两个流的一种方法以实现智能化事件关联图。

自从Whiteside在安全信息管理厂商netForensics工作以来，作为美国军队前任安全专家和日志管理的狂热爱好者，Whiteside说，他相信他能从VNSNY日志中提取出他想要的东西，只要他有合适的工具。

该组织有来自RSA Security的日志管理工具，但它像一个“笨蛋”一样傻坐在那儿，没有配置和监测。在Whiteside获取供应商的帮助未果后，他最终使用一台来自LogLogic公司的日志管理设备和两台来自在赛门铁克的安全信息管理器（SIM）设备设计他自己的架构。SIM收集和关联来自不同源的日志文件，以提供几乎实时的跨IT环境的活动报告。

Whiteside说：“最具挑战性的日志是系统级的日志，因为他们能够以如此众多的形式出现，因此需要查询许多字段。”他需要一个能够“在大海里捞针”的日志管理工具。

他说：“我希望能够在我最健谈的部分（应用和系统日志）做到这样的查询水平。LogLogic拥有应付系统级事件的最佳查询引擎。”

在Whiteside的架构中，LogLogic工具收集和标准化系统和应用程序日志文件。其中一台赛门铁克的SIM收集和标准化所有基于网络的日志文件数据——来自防火墙、入侵防御设备、路由器等。第二台SIM从每台机器上提取所有标准化的数据并使用Whiteside的团队指定的规则关联这些数据。

由于专用于关联事件的SIM没有因事件的收集而陷入困境，他说：“我能够标准化的规则数量是极大的。”赛门铁克SIM还带有一个威胁识别工具，它将当前的威胁电报给授权接收它们的人。

而且，他补充说，他的混合解决方案被设计用于自管理——不像需要管理位于服务器上的SIM，而像来自行业领导者ArcSight公司的解决方案（“业界最直观的图形用户界面，但他们缺乏后端技术”）。

这是一个重要的考虑因素。在VNSNY 179人IT团队中，Whiteside的份额为3。事实上，他说，他的目标是让在他的环境中的每一个应用程序和每一台服务器通过他的架构进行报告，使用自动关联规则。基于他的团队搭建的关键规则，该系统将向每一位需要知道何时发生了什么事儿的人发送警报。

Whiteside说：“我们还没有将该架构彻底调整到我们期望的地步，但我 100％肯定它会工作，因为以前我已经做到了。”

然而，即使部分部署，他的日志管理解决方案已经为内部的 IT和业务方面带来了效益。例如，系统发现一个密码过期很长时间的帐户，解决了为什么它不工作的奥秘。作为VNSNY的合规遵从小组的成员——包含审计头领、隐私官员和内部律师的小组——Whiteside使用它的日志报告向团队出示组织需要将它的许多合规性审计传递到哪儿。他说：“报告允许我建立安全指标的基线。”

Whiteside承认从他的供应商得到了折扣，因为同意与记者交谈，拒绝透露系统成本为多少，除了即使没有折扣价格也足够低以外，以至于他不必游说为它去花钱。他估计，将需要花费一个全职的人每周4小时去做他的工作日志管理工具要做的工作。

位于加州圣荷西的LogLogic市场营销和战略执行副总裁Dominique Levin说，用于自动化日志管理解决方案的业务案例几乎使它本身作为由公司计算系统产生的数据容量扩展到超现实维度。（VNSNY使用LogLogic的MX设备，该设备针对中端市场进行了裁剪，价格为45,000美元。）

她说：“在LogLogic到达现场以前，大约80％的公司正在做日志管理的工作。他们使用Unix平台和脚本，然后他们遇到了困难。”

她说，受管制的环境强调一切需要留在顶部。许多安全和法规遵从授权是指机器语言必须翻译成“我们可以理解的内容。”

日志管理工具和SIM整合设备形成安全架构