Контролировать и анализировать протоколы событий вручную

Контролировать и анализировать протоколы событий вручную — большая работа. Протоколы разных систем имеют разный синтаксис, что тоже не способствует «лучшему усвоению материала». Для решения этих проблем в сети можно найти достаточное количество разнообразных скриптов и бесплатно распространяемых программ. Однако более глубокий анализ данных может предоставить только коммерческая система, а для долговременного хранения информации потребуется выделенная для этой цели станция. Протоколы должны изучаться каждый день, главным образом на предмет выявления событий, затрагивающих безопасность сайта и требующих немедленного вмешательства. Если такое событие найдено, то администратору необходимо собрать всю сопутствующую информацию и приступить к «реализации» инцидента. Если в протоколе такие «тревожные» события не обнаружены, файл протокола может быть просто уничтожен или добавлен в соответствующий архив. Здесь необходимо лишний раз упомянуть о том, что чем больше разного рода событий протоколируется, тем ниже вероятность того, что «осторожные» попытки сканирования и растянутые во времени разведывательные действия останутся без внимания. Автоматизация процесса анализа протоколов — неплохая идея, но если только в этом процессе остается Человеку тот, который будет периодически оценивать справедливость выдаваемых автоматом предупреждений и отслеживать события, которые автоматом по какой-то причине не фиксируются. Кроме того, если вы все-таки решили автоматизировать анализ протоколов, убедитесь, что трафик контролируется на нескольких уровнях сетевой защиты. Например, чтобы в один прекрасный момент ваша собственная система вас не обманула, поставьте за межсетевым экраном IDS. Когда злоумышленник скомпрометирует экран и изменит протоколы, вы узнаете об этом раньше, чем получите первое ложное событие.