Windows域环境“3难”?弋搜日志系统教你如何轻松解决!

Posted 博弋论

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Windows域环境“3难”?弋搜日志系统教你如何轻松解决!相关的知识,希望对你有一定的参考价值。

管理现状问题


对于中小型企事业单位来说,业务正常开展离不开基础设施的支撑,其中最重要的一环就是Windows域环境。


在域环境下企业拥有少则几十台多则成百上千台Windows主机,包括服务器、客户机等。这些系统在运行过程中,发生的各类网络和主机行为,产生了大量的日志记录,在运维、安全和管理层面来说都意义重大,主要体现如下:




运维人员运维实施难度大,需要逐台登录排查定位,比如确认主机补丁更新情况,服务安装、变化情况;



安全人员无法有效的进行问题溯源和跟踪关联,比如主机是否对外进行异常扫描操作,主机是否被恶意爆破密码;



管理人员无法总体把控企业主机的存活状态、日常运行和安全状况等,比如域内主机关机/重启操作,是否存在异常,是否存在三无主机。


即便意识到上述问题存在,一般中小型企事业单位自身也没有能力去建设一套集中管理日志审计系统。



Windows事件安全监控指标


提及Windows主机安全监控,我们需先了解下Windows事件日志以及相关的安全监控指标。


Windows系统内置三个核心日志文件,包括System、Security和Application,记录着操作系统日常的各类事件记录,以特定数据结构的方式存储事件记录。


每个事件记录的数据结构中包含了9个主要的元素,包括时间戳、事件类型、用户、计算机、事件ID、来源、类别和描述、数据等信息。系统自带事件查看器的工具,用于专业安全运维人员进行取证分析排查。


根据博弋多年信息安全服务经验,梳理如下与主机安全密切相关的监控指标:


(点开查看大图)


主机安全监控


目前博弋凭借着多年的积累,自行研发了一套“弋搜日志数据管理与分析系统”(简称“弋搜日志系统”)。


“弋搜日志系统”提供了日志采集、日志格式化、日志查询、日志分析、日志可视化、日志告警为一体的、完整的日志数据管理与分析解决方案,实现海量数据的近实时检索、统计与分析,帮助运维人员提高运维效率,实现“向数据要价值”的理念。


在Windows域环境下针对大量Windows主机的事件日志采集时,采用透明无代理模式,利用Windows自身机制实现远程主机日志订阅转发。


通过在各个域进行组策略下发允许各域服务器和客户机将Windows主机日志转发至对应的订阅服务器,订阅服务器上部署自行研发的采集客户端,将日志采集至“弋搜日志系统”中,从而借助“弋搜日志系统”实现综合安全主机监控。


监控架构如下所示:


Windows域环境“3难”?弋搜日志系统教你如何轻松解决!



监控成果和意义


从真实业务场景需求出发,切实关注主机安全。


Windows域环境“3难”?弋搜日志系统教你如何轻松解决!




可视化展示

通过以综合面板形式进行可视化,能够帮助管理者全面掌控所属域主机安全状况。


Windows域环境“3难”?弋搜日志系统教你如何轻松解决!




监控告警

通过内置告警模块,支持及时将发现的主机问题以邮件等形式发送出来,让管理者能够掌握内网安全问题,同时避免出现大量误报和滥报情况。


Windows域环境“3难”?弋搜日志系统教你如何轻松解决!


上海博弋信息科技有限公司是一家专业的网络空间安全服务提供商,尤其在大数据安全分析、信息安全风险评估、网络安全等级保护建设咨询、ISO/IEC 27001标准体系建设、信息安全监控和应急响应等方面拥有丰富的实施经验。


想了解更多关于“弋搜日志系统”的信息,请联系我们:

联系邮箱:public@boyi-tech.com



更多专题

1


2


3


以上是关于Windows域环境“3难”?弋搜日志系统教你如何轻松解决!的主要内容,如果未能解决你的问题,请参考以下文章

教你一步搭建Flume分布式日志系统

教你如何完美卸载Ubuntu双系统

教你一步搭建Flume分布式日志系统

Windows 2008 R2 系统被人入侵,删除了组策略,求系统日志ID

手把手教你搭建 Selenuim 自动化环境

教你如何在Kali Linux 环境下设置蜜罐?