建立安全运营中心（SOC）日志来源-运维技术实践

日志来源

在本页1 .数据源类型2 .“必备”日志

确定日志源，建立这些日志源将为您提供在执行安全监控时有用的安全信息。

遵循操作模型页面中列出的运营源原则后，您应该对您的中心系统及其体系结构有相当全面的了解。您还应该了解您试图在系统中检测的日志威胁和攻击的复杂性。

下一步是建立识别组织（或客户系统）内的日志源，这些日志源将为您提供在执行安全监控时有用的建站模板安全信息。这就是运营源威胁建模的用处，因为它使您能够识别有价值的中心日志源，并提供为什么应该收集它们的日志理由。

除了用于检测之外，建立日志源对于执行事件响应也至关重要，安全因为它们可以在发生事件时提供有关系统行为的运营源有价值的上下文。

数据源类型

为了保持与技术无关的源码下载中心目标，本指南不会枚举每种类型的日志日志源。然而，应考虑的来源可分为四大类。

应用——可以说是最广泛和最多样化的范围。应用程序提供的日志通常可以提供对用户操作的宝贵洞察。主机- 这些日志通常指操作系统和应用程序日志。通常，源码库获取这些内容需要将代理部署到设备上。NCSC 日志记录变得简单就是一个例子。网络- 来自网络设备和基础设施的日志可以提供有关整个资产中连接的设备和服务的重要信息。云- 云日志可以包含上述所有数据源，但有些服务不属于这些类别，例如云管理和计算服务。这些服务通常会提供自己的日志，其中包含大量有用的信息。免费模板

“必备”日志

在深入研究系统地识别日志源的过程之前，有一些快速的监控方法。

身份验证- 这些日志将允许 SOC 识别用户登录系统或尝试登录系统的位置和时间。当对手试图未经授权访问系统时，这些日志会发出巨大的危险信号。安全控制- 这可以包括反恶意软件、安全控制（例如防火墙）、访问控制列表更改以及在组织内执行安全功能的任何内容。与上面类似，云计算这些控件提供的日志是必须的，因为它们将提供出现问题的第一个指示。DNS - 这些日志对于识别组织内的恶意行为非常有价值。例如，“EUD123 已请求 www[.]n0t-m4lw4re[.]com”——这可能会提供受感染设备的第一个指示，从而允许 SOC 进行干预。