ログ分析におけるネットワーク管理者の5つの誤解

ログを使用する過程で、人々はしばしば5つの主要な誤解に直面します。これらの誤解を克服することは、安全設備の価値を大幅に高めるだけでなく、潜在的なリスクを適時に解決することもできます。

新たなセキュリティの脅威に対応するために、多くの組織が複数のセキュリティデバイスを導入しています。これらのデバイスは多くのログ情報を生成します。この情報を利用するために、多くの企業はログ収集および分析プログラムも展開しています。それでも、多くのユーザーは依然としてセキュリティデバイスの役割が期待される値に達していないと信じています。これは、ログ分析で5つの誤解があるためによく起こります。

ログを表示しない

多くのユーザーは低レベルのエラーをします。ログを見ないでください。ログを収集して保存することは重要ですが、タイムリーに応答するには、ネットワーク環境で何が起こっているのかを理解するためにログを頻繁に確認することだけが必要です。セキュリティデバイスが展開されてログが収集されると、ユーザーはそれを継続的に監視し、発生する可能性のあるセキュリティイベントを発見する必要があります。

主要なイベントの後にログを確認するだけのユーザーもいますが、これらのユーザーは事後分析の恩恵を受けることができますが、事前予防の恩恵を受けることはできません。ログを積極的に表示することで、ユーザーはセキュリティ機能の価値をより的確に把握し、攻撃が発生するタイミングを把握し、タイムリーに行動を起こすことができます。

多くのユーザーは、侵入検知システム（IDS）が機能しないことを常に訴えてきました。この問題の重要な理由は、IDSが警告メッセージに基づいて行動を取ることを妨げる誤検知を頻繁に生成することです。 IDSログと他のログ（ファイアウォールログなど）との完全な相関分析を実行すれば、IDSの役割を果たすことができます。

ログの優先順位付けなし

ログは収集され、保存時間は十分に長く、ログフォーマットも統一されています。ユーザーは最近のセキュリティインシデントを確認するために概要の高いレベルを取得しようとすることをお勧めします。これは別のエラーを克服すること、すなわちロギングを優先しないことを要求します。一部のネットワーク管理者は、優先順位を優先せずに大量のログデータを調査し、その結果は途中で破棄されます。

効果的な優先順位付けの第一歩は戦略を定義することです。次の質問に答えると、戦略の定義に役立ちます。「何が最も気になりますか？」「攻撃は厄介ですか？」「この攻撃は以前に行われたことがありますか？」 。

ログ形式が統一されていない

ログ形式が統一されていないことは非常に一般的です。単純なネットワーク管理プロトコルに基づくものと、Unixシステムに基づくものがあります。統一されたログフォーマットの欠如は、Unixログフォーマットに精通しているすべての管理者がWindowsイベントロギングを理解できるというわけではないので、ログ分析を実行するために異なる専門家を必要としました。ほとんどのネットワーク管理者は、通常、少数のシステムにしか精通していないため、デバイスによって生成されたログ情報を統一された形式に変換することは、相関分析や意思決定を行う上で有益です。

ログの保存時間が短すぎる

多くのユーザーは、監視および調査する必要があるすべてのログを持っていると考えていますが、セキュリティ上の問題が発生した後、対応するログ情報は削除されています。セキュリティインシデントは通常、攻撃または悪用が行われてからずっと後に発見されます。コストが乏しい場合、ユーザーは保存されたログを短期オンラインストレージと長期オフラインストレージの2つの部分に分割することをお勧めします。古いログ情報をテープに保存すると、オフラインストレージのコストを節約でき、将来の分析のために保存できます。

既知の悪い情報だけを探す

最先端で最も安全なユーザーでも、ネットワークトラップに侵入することがあります。この種のネットワークトラップは非常に卑劣であり、ログ分析の価値を著しく低下させる可能性があります。これは、ユーザーが既知の悪い情報だけを見た場合に起こります。

ログファイルに定義されている不正な情報を探すときに、スイッチは非常に効果的です。ただし、ログデータの価値を十分に引き出すには、ログの詳細なマイニングを実行する必要があります。悪意のある情報が事前に定義されていないと、攻撃されて感染したシステム、新しい攻撃、内部の悪用、および知的財産の盗用など、有用な情報がログファイルに記録されます。潜在的な攻撃を発見する機会を増やすにはどうすればよいですか？これには、ユーザーがログデータの異常をすばやく見つけることができるデータマイニング方法が必要です。