Log-Files
ISP 使用哪些工具來瀏覽日誌?
眾所周知,ISP 必須出於各種目的(例如執法需要)記錄各種網路數據。
但是,ISP 使用哪些軟體工具來瀏覽如此大量的網路日誌?
此外,對於 ISP 來說,例如,在被傳喚的情況下查找給定 IP 地址後面的使用者需要多長時間?
這取決於日誌的類型。但是現在很多人使用安全資訊和事件管理 (SIEM) 系統。
SIEM 解決方案可實時提供網路上正在發生的事情的整體視圖,並幫助 IT 團隊更主動地應對安全威脅。
SIEM 解決方案的獨特之處在於它們結合了安全事件管理 (SEM) - 實時分析事件和日誌數據以提供事件關聯、威脅監控和事件響應 - 與安全資訊管理 (SIM) 檢索並分析日誌數據並生成報告。對於希望實時全面了解和控制其網路上發生的事情的組織,SIEM 解決方案至關重要。
SIEM 軟體收集和匯總整個組織的技術基礎架構中生成的日誌數據,從主機系統和應用程序到防火牆和防病毒過濾器等網路和安全設備。
然後,該軟體對事件和事件進行辨識和分類,並對其進行分析。該軟體有兩個主要目標,即提供與安全相關的事件和事件的報告,例如成功和失敗的登錄、惡意軟體活動和其他可能的惡意活動,並在分析顯示活動違反預定規則集時發送警報,因此表示潛在的安全問題。
一些免費和開源的 SIEM:
- 奧西姆
- 作業系統安全委員會
- 薩根
- Splunk 免費
- 打鼾
- 彈性搜尋
- 莫茲德夫
- 麋鹿棧
- 瓦祖赫
- 阿帕奇Metron
SIEM 可以使用 AI(人工智慧)來獲得預測能力。通常,SIEM 中的 AI 表現為機器學習;這種重要的能力在獲取威脅情報並轉移現場攻擊時了解威脅。機器學習可以更輕鬆地跨大型數據集檢測威脅,減輕安全團隊的一些威脅追踪責任。