日志审计——筑牢企业安全防线

随着信息化的快速发展，企业和组织为了应对复杂的安全挑战，先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统等安全设备。由于这些设备仅针对来自某个方面的安全威胁，“孤岛式”的安全防御模式无法产生协同效应，在运行过程中产生了大量的安全日志和事件，导致安全管理人员无法在海量的日志中发现真正的安全隐患，工作效率受到很大范围的影响。另一方面，企业和组织日益迫切的信息系统审计和内控以及不断增加的业务持续性需求，也对当前日志审计提出了严峻的挑战。

一、什么是日志审计

日志审计是指通过全面收集企业IT系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志（包括运行、告警、操作、消息、状态等）并进行存储、审计、分析，识别发现潜在安全事件与安全风险。日志审计同样属于数据安全领域的重要组成部分。

二、日志审计的核心流程

日志审计通常包含以下四个核心流程：日志采集、日志分析、日志存储、结果呈现。日志审计需要能够接入不同类型数据源，对接入数据进行加工分析，并应用流式计算、机器学习等能力提高分析处理的效率与质量。依据审计规则对泛化日志进行识别分析，识别潜在安全风险、安全事件。同时需要将采集的原始日志、处理的泛化日志进行分片存储、分片索引，以此支持海量数据的检索能力。

1、日志采集

日志采集是指通过logstash配置或端口镜像等多种技术手段采集需要审计的日志信息，其关键在于采集信息的手段种类、采集信息的范围、采集信息的粒度。

2、日志分析

日志审计系统的核心在于对采集上来的信息进行分析、审计。在信息分析技术中，简单的技术可以是基于数据库的信息查询和比较，复杂的技术则包括实时关联分析引擎技术，采用基于规则的审计、基于统计的审计、基于时序的审计以及基于人工智能的审计算法等。

3、日志存储

日志存储是指对采集到的原始信息和审计后的信息都要进行保存、备查，其关键在于海量信息存储技术以及审计信息安全保护技术。

4、结果呈现

结果呈现是指对审计结果进行展示呈现，其关键在于审计结果的可视化能力和告警响应的方式。

三、日志审计的应用场景

日志审计通常会运用在以下三个场景：

1、账号异常操作识别

通过采集系统日志，对其内容进行分析，识别分析账号的异常操作行为。例如当发现该账号的访问信息与备案的数据资产账号权限报备信息不一致时进行告警；某账号访问了不在其权限范围内的数据资产或试图导出高敏数据时进行告警。

2、IP异常行为识别

通过采集应用系统日志，对其内容进行分析，识别异常IP的异常行为。例如当发现同一IP同一时间段对敏感数据接口访问频次较高时或者请求IP不在权限范围内时进行告警；某IP在某时段内高频访问运营商营业厅的对外账号充值接口时进行告警。

3、主机异常操作行为识别

通过采集主机操作日志，对其内容进行分析，识别在主机上的异常操作行为。例如当发现在非变更窗口出现变更操作指令或者某一IP进行异常变更操作时进行告警。

四、日志审计的应用效果

1、安全合规

由于相关法律法规要求，日志审计能力能够满足内外部监管要求，助力企业提升合规管理能力。

2、安全赋能

日志审计能力通过24小时全面监控业务运行与网络安全情况，识别潜在安全风险，赋能企业整体安全防线。

3、常态审计

提升了日志审计效率，解决了人工效率低下以及面对海量数据人工无法进行管理的难题，有效支撑了常态化审计工作的开展。

4、降本增效

日志审计能力既能快速接入不同类型日志，又能够自定义配置不同类型审计规则。降低了审计准入门槛，节约了专业运维人员的培养成本。

五、总结

随着网络设备的逐步增多以及内外部的合规和建设要求，企业日志审计能力建设成为必须。由于不同设备的安全日志分散且不统一，运维人员需要付出大量的时间与精力投入到日志采集与分析中，加重了运维人员的工作负担。针对这些问题，鹏信日志审计平台提供一键日志采集、毫秒级日志检索、自定义配置审计规则等能力，解决了日志分散、审计门槛高等问题，大幅提升企业审计效率，达到审计场景基本覆盖，形成体系化、规范化、场景化、自动化的审计能力，支撑常态化审计工作高质量、高效率开展，助力企业构建网络安全防线。