《日誌審計與分析》
網絡空間安全重點規劃叢書- 圖書作者:
- 楊東曉、張鋒、朱保健、魏昕
- 出版商:
- 清華大學出版社
- 發行時間:
- 2019年02月01
內容簡介 CONTENT VALIDITY
本書共分為7章,分別介紹了日誌、日誌審計和日誌收集與分析系統的相關基礎知識,日誌收集階段的對象和方式,日誌存儲階段的存儲策略和方法,事件過濾和歸一化使用的方法及效果,關聯分析中的實時關聯分析、事件關聯分析、告警響應分析和實時統計分析,查詢與報表等日誌的處理方式,最後結合具體案例對背景需求和解決方案進行了討論和解讀,幫助讀者更好地掌握日誌審計與分析。
本書每章後均附有思考題總結本章知識點,以便為讀者進一步閲讀提供思路。本書由奇安信集團針對高校網絡空間安全專業的教學規劃組織編寫,既適合作為網絡空間安全、信息安全等相關專業的教材,也適合負責網絡安全運維的網絡管理人員和對網絡空間安全感興趣的讀者作為基礎讀物。
目錄 CONTENTS
第1章日誌基本知識1
1.1日誌概述1
1.1.1日誌設備產生的原因1
1.1.2日誌管理設備的定義2
1.1.3日誌的作用3
1.2日誌審計5
1.2.1信息系統審計概念5
1.2.2日誌審計概念7
1.2.3日誌審計法律法規9
1.2.4日誌審計面臨挑戰11
1.3日誌收集與分析系統11
1.3.1日誌收集與分析系統介紹11
1.3.2系統功能13
1.3.3日誌旁路部署17
1.3.4日誌全生命週期管理17
1.3.5合規性要求19
思考題21
第2章日誌收集22
2.1概述22
2.2收集對象22
2.2.1操作系統22
2.2.2網絡設備25
2.2.3安全設備26
2.2.4應用系統27
2.2.5數據庫27
2.3收集方式29
2.3.1Syslog29
2.3.2SNMPTrap30
2.3.3JDBC/ODBC32
2.3.4FTP37
2.3.5文本38
2.3.6WebService39
2.3.7第三方系統39
2.4日誌收集器39
思考題41
第3章事件歸一化42
3.1事件過濾42
3.1.1事件過濾介紹42
3.1.2事件過濾使用的方法43
3.2歸一化的原因46
3.3歸一化的方法及效果47
3.3.1歸一化的方法47
3.3.2歸一化的效果54
思考題56
第4章日誌存儲57
4.1概述57
4.2日誌存儲策略57
4.2.1日誌存儲格式57
4.2.2關係數據庫存儲策略58
4.2.3鍵值數據庫存儲策略60
4.2.4Hadoop分佈式存儲策略63
4.3存儲方式66
4.3.1在線存儲66
4.3.2近線存儲68
4.3.3離線存儲70
4.3.4日誌存儲的實際應用72
思考題73
第5章關聯分析74
5.1概述74
5.2實時關聯分析75
5.3事件關聯方式76
5.3.1遞歸關聯76
5.3.2統計關聯77
5.3.3時序關聯79
5.3.4跨設備事件關聯80
5.4告警響應80
5.4.1告警響應介紹80
5.4.2告警方式81
5.4.3響應方式82
5.4.4告警查詢85
5.5實時統計分析86
5.5.1事件全球定位系統86
5.5.2動態雷達圖86
5.5.3事件行為分析87
5.5.4主動事件圖88
思考題89
第6章查詢與報表90
6.1概述90
6.2事件查詢90
6.2.1普通條件查詢90
6.2.2模糊查詢91
6.2.3查詢場景92
6.2.4查詢任務93
6.3日誌報表的分類93
6.3.1報表概述93
6.3.2預定義報表93
6.3.3自定義審計報表94
6.3.4中間表98
思考題100
第7章典型案例101
7.1高校日誌審計解決方案101
7.1.1背景及需求101
7.1.2解決方案及分析102
7.2金融行業日誌審計解決方案104
7.2.1背景及需求104
7.2.2解決方案及分析106
7.3航空公司日誌審計解決方案109
7.3.1背景及需求109
7.3.2解決方案及分析110
7.4政府日誌審計解決方案112
7.4.1背景及需求112
7.4.2解決方案及分析113
7.5日誌的高級應用:如何通過日誌溯源114
7.5.1某企業的撞庫事件分析114
7.5.2某企業短信平台事件分析116
思考題117