您现在的位置: 
审查安全纪录有时候是很有趣的。不要误解我的意思。详细审查大量的数据找出值得注意的事件并不是我喜欢的一种消遣活动。然而,把表面上没有关系的事件关联起来,确定异常报警的原因或者在攻击开始的时候就发现入侵活动可以得到很好的回报。
虽然审查安全记录对于一项SIM计划取得成功是非常重要的,但是,定期地和深入地实施这种审查并不是一件容易的事。下面是建立一个流程确保不漏掉重要事件的一些建议:
制定一个定期审查记录的计划。创建一个习惯。大多数人都不会忘记根据可预见的时间表做的一些事情。确定一个时间,让你在这个时间专门进行审查记录的工作并且把这个时间表坚持下去。在你的日历中把那个时间段标记为“忙碌”,以防止不必要的会议或者其它事情打断这个计划。
实现重复记录处理任务的自动化。人工审查记录中的每一个登录项是单调枯燥和耗费时间的,因此可能会错过重要的报警。你要利用记录处理工具的能力把相同的记录集合起来,优先处理事件和过滤与当前不相关的登录项。实现这些任务的自动化可以加快审查的速度和提高准确定。
交替执行审查记录的职责。改变负责审查记录的人员的职责有几个好处。它有助于防止进行重复性工作产生的疲劳。换一个人可以使那个人以新鲜的眼光看待这些数据。你可以考虑在你的团队中的合格的人员中间每个星期或者每个月交换一次审查记录的职责。
跟踪通过审查记录解决的问题。人们以为例行性的任务是很容易的。要坚持不断地跟踪由于审查安全记录阻止或者弥补的服务中断或者网络入侵等问题。这个做法将收集到评估审查安全记录有用性的衡量指标。这些衡量指标在预算和分配红利的时候是特别有帮助的。
一个切实可行的例行性的审查安全记录要定期做出计划、部分审查工作实现自动化、在团队成员之间交替执行审查记录的职责并且与问题的解决方案联系起来。这种工作流程不仅会提高安全审查工作的警惕性,而且还能保证机构最有效地利用其SIM系统收集到的有价值的数据。
