为啥我们要有日志审计和日志管理服务能力

前几天给某大厂“跑腿”，去检查这些大厂下辖的服务供应商安全能力，其中有一条比较重要——“是否有日志审计和日志管理服务能力”。

看到这个，我有点好奇了，于是查了一下有哪些地方强调了这个要求。

罗列一下我查到的相关要求哈：

1、一些大厂和大机构要求自己管辖范围供应商或分支机构要有这个能力；

2、“网络安全法”要求我们具备这个能力；

3、等保和通保要求我们具备这个能力；

4、GDPR、PCI DSS、ISO 27001要求我们具备这个能力；

5、其他（应该还有，我就不去再查了）；

为啥大家都这么强调日志审计和日志管理服务能力呢？

我默想了一下，又查阅了一些文章，归纳起来应该有如下一些原因：

可以检测和响应安全事件

日志会记录网络和系统活动的详细信息，比如登录事件、文件访问、系统错误等。通过分析这些日志，可以检测到异常行为或潜在的攻击，如未授权的访问、恶意软件活动和数据泄露。日志审计分析可以帮助安全团队快速识别并响应安全事件，减少潜在损失和影响。

满足合规性要求

前面也说了等保和网安法等相关要求

支持调查和取证分析

当发生安全事件或数据泄露时，日志是重要的调查工具。可以提供详细的事件发生时间线，对于确定攻击源、分析攻击手法以及制定补救措施非常重要。它也能为法律诉讼或内部审计提供有力的证据。

持续监控和改进安全态势

日志管理可以提供对系统运行状态的实时视图，有助于持续监控安全态势。通过持续的日志审查，组织可以识别常见的安全弱点和趋势，改进现有的安全策略和措施，增强整体防御能力。

提升系统性能和问题排查

日志不仅记录安全相关事件，也包括系统性能和错误信息。这些日志对于排查系统故障、优化性能非常有帮助。通过分析系统日志，可以快速定位和解决系统问题，减少停机时间和运营中断。

防止内部威胁和滥用行为

内部威胁，如员工滥用权限或进行不当行为，往往难以通过外部防御机制检测到。日志管理可以帮助监控内部用户的活动，并在发现异常时立即采取行动，从而防止内部滥用和数据泄露。

自动化和警报管理

日志管理系统可以通过自动化规则和机器学习技术来分析日志数据，并生成警报。自动化减少了人工审查的负担，还可以提高响应速度。

除了这些通用的一般性大框架的功能作用，不同的机构又不同的诉求。比如我文章开头提到的大厂，这家国内大厂是做电商的，所以它们就希望供应商必须保留解密接口调用、订单操作、用户登录认证、数据库关键操作这些日志，而且要180天。因为这些内容是它非常看重的部分，至于其他的Web访问日志啥的，它并不做要求。但是通保这类合规要求又会强调要有Web访问日志。

所以，站在不同的角度，还存在一些要求重点的倾斜。

既然要做，那么怎么就叫有了日志审计和日志管理服务能力呢？

主要看下面这些方面：

1、日志收集，能不能从多个源（比如服务器啊、网络设备啊、应用啊）自动收集日志数据；

2、日志存储，能不能安全可扩展的存储日志，满足180天所需；

3、日志分析，是否可以用工具和机器学习等技术分析日志，识别异常行为、安全威胁和性能问题。

4、是否有搜索和查询功能，可以快速找到特定的日志条目（想想看，白花花一片的日志摆在你面前，没有搜索功能，你是不是只剩茫茫然了）

5、用户和权限管理，实现细粒度的访问控制，确保只有授权用户才能访问日志数据。

6、有警报机制，能够在检测到可疑活动或安全事件时及时通知相关人员。

当然，还可以有更高阶的日志管理服务能力，比如和其他安全工具（SOC、SIEM、态势感知、安管平台）等集成，形成可视化等安全管理视图等，这里就不再赘述了。

THE END

原文始发于微信公众号（透明魔方）：为啥我们要有日志审计和日志管理服务能力