Log-Files

ISP 使用哪些工具來瀏覽日誌?

  • November 8, 2020

眾所周知,ISP 必須出於各種目的(例如執法需要)記錄各種網路數據。

但是,ISP 使用哪些軟體工具來瀏覽如此大量的網路日誌?

此外,對於 ISP 來說,例如,在被傳喚的情況下查找給定 IP 地址後面的使用者需要多長時間?

這取決於日誌的類型。但是現在很多人使用安全資訊和事件管理 (SIEM) 系統。

SIEM 解決方案可實時提供網路上正在發生的事情的整體視圖,並幫助 IT 團隊更主動地應對安全威脅。

SIEM 解決方案的獨特之處在於它們結合了安全事件管理 (SEM) - 實時分析事件和日誌數據以提供事件關聯、威脅監控和事件響應 - 與安全資訊管理 (SIM) 檢索並分析日誌數據並生成報告。對於希望實時全面了解和控制其網路上發生的事情的組織,SIEM 解決方案至關重要。

SIEM 軟體收集和匯總整個組織的技術基礎架構中生成的日誌數據,從主機系統和應用程序到防火牆和防病毒過濾器等網路和安全設備。

然後,該軟體對事件和事件進行辨識和分類,並對其進行分析。該軟體有兩個主要目標,即提供與安全相關的事件和事件的報告,例如成功和失敗的登錄、惡意軟體活動和其他可能的惡意活動,並在分析顯示活動違反預定規則集時發送警報,因此表示潛在的安全問題。

一些免費和開源的 SIEM:

  • 奧西姆
  • 作業系統安全委員會
  • 薩根
  • Splunk 免費
  • 打鼾
  • 彈性搜尋
  • 莫茲德夫
  • 麋鹿棧
  • 瓦祖赫
  • 阿帕奇Metron

SIEM 可以使用 AI(人工智慧)來獲得預測能力。通常,SIEM 中的 AI 表現為機器學習;這種重要的能力在獲取威脅情報並轉移現場攻擊時了解威脅。機器學習可以更輕鬆地跨大型數據集檢測威脅,減輕安全團隊的一些威脅追踪責任。

引用自:https://serverfault.com/questions/1041757