При обеспечении безопасности важным аспектом является распределение ролей (separation of duties). То есть недопустимо, когда один сотрудник совмещает несколько функций, особенно если одна из них призвана контролировать другую.
В простейшем случае причиной значительного объема инцидентов может быть большое количество событий, например, когда какое-либо приложение пытается выйти в Интернет, используя закрытый порт. Межсетевой экран будет честно рапортовать о каждом таком неинтересном событии.
Итак, системы SIEM используются для автоматизации обработки событий ИБ. Для этого применяются правила корреляции. Поговорим о том, как правильно составить список необходимых правил. Многие промышленные системы SIEM имеют предустановленный набор правил, например, обнаружение подбора пароля или сканирования портов, однако в большинстве случаев этого стандартного набора бывает недостаточно.
Итак, вы внедрили какое-либо SIEM-решение. Большинство промышленных решений платные, поэтому их развертывание обойдется недешево.
Системы мониторинга событий информационной безопасности (SIEM) получили широкое распространение. Сейчас в большинстве крупных организаций внедрены средства централизованного анализа событий. Различные системы передают данные о происходящих в них событиях на серверы мониторинга для их обработки и хранения.
Таково видение основного разработчика Arch; однако куда важнее опыт конечного пользователя. Мы спросили мнение некоторых администраторов серверов, работающих на Arch Linux:
Arch заявляет, что он «достаточно всесторонний для любой роли» и является «идеальным дистрибутивом для серверов». Однако с учетом отмеченных нами ключевых моментов — например, быстром темпе изменения дистрибутива и периодических важных обновлениях, приводящих к отказу системы — может ли это быть правдой? Мы задали этот вопрос Аллану Мак-Рею, члену команды Arch, и он поделился с нами своими соображениями...
Например, в начале июня команда Arch объявила о переходе на унифицированную директорию /usr/bin (с удалением /bln и /sbin). Это весьма похвальный шаг в сторону дальнейшего упрощения дистрибутива; однако работа, предполагавшаяся в связи с этим переходом, на стороне пользователей Arch была отнюдь не простой.
Поскольку Arch Linux существует с 2002 года, за это время появились разные дистрибутивы на его базе. В большинстве случаев они стремятся добавить удобства и дружелюбия к пользователю, которых не хватает основной версии, и вот самые примечательные:
Будь проще, дурень (Keep It Simple, Stupid, или KISS): именно такая философия лежит в основе подхода Arch Linux к созданию дистрибутива. В соответствии с этим получилась довольно минималистская и легковесная базовая система, которая является для пользователей стартовой точкой для индивидуальной настройки и добавления пакетов.
Вы слышали о райсерах? В мире автолюбителей так называют тех, кто безо всякой необходимости вносит в свою машину изменения - например, ставит гигантские спойлеры, огромные выхлопные трубы и дорогие диски на колеса. Они тратят уйму средств на модификацию своих машин, но с точки зрения скорости эти изменения бессмысленны.
Теперь вы будете получать ежечасные оповещения о новых записях, добавленных в системный журнал. Оповещения могут показаться слишком подробными; есть список безобидных/простых сообщений, которые игнорируются по умолчанию, но он склонен к излишней предосторожности. Вы почти наверняка захотите добавить фильтры, особенно если у вас есть любые часто запускаемые задания Cron.
Другие ключевые параметры — Detail [детализированность], уровень детализации информации, включаемой в письма; Range [период], период времени, охватываемый каждым письмом; и Service [Сервисы], в котором задаются конкретные проверки, которые будут выполнены. Значения по умолчанию для этих параметров не требуют пояснений: АН [всё], но можно убрать из проверки часть сервисов. Например,
Итак, в каталоге /var/log сидит этот файл, и он заполняется разнообразной информацией о том, что происходит в системе; но что с ним делать? Основных назначений два: первое — с целью диагностики, чтобы понять, в чем проблема, если что-то работает не так, как должно. Вторая — мониторинг подозрительных действий, таких как повторяющиеся неудачные попытки удаленного входа в систему с одного и того же IP-адреса.
В фоновом режиме на вашем компьютере работает программа, называемая системным логгером или syslog. Работая, она собирает информацию от других программ, запущенных на компьютере — и знает о вашей системе даже больше, чем Google и Facebook.
ASUS M3A Производители ASUS Socket AM2+ Поддержка процессора INTEL Поддержка типов процессоров Athlon 64, Athlon 64 FX, Athlon 64 X2 Dual-Core,...
10-09-2013
На днях производитель Logitech объявил о выпуске первых продуктов, предназначенных для Samsung Galaxy Tab 3. В составе новой коллекции можно...
10-09-2013
Производитель Lenovo в очередной раз планирует порадовать своих почитателей любопытной новинкой. На этот раз на суд публики будет представлен новый...
| Курсы Валют | Дата | ЦБ |
Нал.USD |
27.01 | 81,8394 |
Нал.EUR |
27.01 | 88,8858 |
Нал.UAH |
27.01 | 32,9003 |
Ваша Корзина пуста
