您现在的位置: 
SEIM和遵守法规的报告
“知识就是力量”这个格言非常适合于SEMI(安全事件和信息管理)和遵守法规的报告领域。所有SEIM类型的解决方案都需要数据,如长文件和系统信息。这对于采用内部规则建立的数据仓库、记录整合工具(如,LogLogic)和COTS SEIM产品(如,ArcSight或者eSecurity/Novell)都是如此。没有这个数据,对环境当前的安全状态进行评估是不可能的。
安全事件和信息管理工具,无论是由外包商管理的还是由最终用户公司管理的,都要使用许多产品和设备的记录和事件信息。这些产品包括防火墙、杀毒网关和网络入侵检测系统。机构使用外包商的安全漏洞管理数据的一个方法是把安全漏洞评估扫描的信息与入侵检测系统的输出信息结合起来。这将提供一个背景,让机构把具体的入侵检测系统报警与成功的攻击结合起来。
收集到的安全漏洞管理数据对于机构有很大的价值,特别是对于审计来说更是如此。许多安全漏洞管理工具创建一些它们管理的设备和服务的清单。有些安全漏洞管理服务提供商采取替代的方法,使用管理的客户提供的资产数据。安全漏洞管理工具还捕捉许多服务器方前健康状态的最新镜像。例如,这个主机正在运行什么操作系统?那个系统正在提供什么服务?目前的补丁水平如何?所有这些信息对于SEIM以及设置报告和管理工具都是非常有用的。例如,如果SEIM知道那个网段使用的补丁的级别,SEIM在提供一个蠕虫正在某一网段活动的警报时就能够使用一个更好的数据集,以便确定这些威胁的优先等级。
配合外包的安全漏洞管理服务
下面是配合外包的安全漏洞管理服务的一些建议:
·对于外包的安全漏洞管理服务收集的数据要有透明度。在签定合同之前,你要向你的外包公司确认,在对你的站点进行扫描的时候,你要能够接近实时地访问这些数据。
·与厂商进行核对以便证实他们正在使用什么产品和这些信息将如何共享。这些数据是采用CSV格式,还是通过XML格式。你的SEIM或者遵守法规的工具能不能在本地读取记录和报警信息?理想的情况是你能够把你的SEIM或者遵守法规工具直接连接到外包的安全漏洞管理工具,以便立即共享收集的数据。一个必然的结果就是协商外包商如何计划处理为改善工作流程收集到的数据。例如,某些正在实施的任务可以为提高效率进行优化。如果保持一个错报的记录,基本的数据可以进行提炼,这样管理员就不会一再为同样的报警展开调查了。
·某些收集到的安全漏洞管理数据,如完成使用补丁的时间,可以用作关键的性能指标和显示一段时间的改进。底线:如果外包商不允许你访问你自己的、非常有价值的和扫描的数据,在与他们签署协议之前要三思。
通过外包的安全漏洞管理工具收集到的信息有关于你的设备和补丁水平当前状态的重要信息。即使你认为你已经在内部捕捉到了这些信息,拥有一双替代的眼睛(或者审计记录)来对比这些记录进行验证检查也是很好的。因此,在你与你的安全漏洞管理厂商讨论运行时间和覆盖范围的时候,不要忘记询问有关访问和使用这些收集到的数据的能力的事情。这是你自己的信息,要确保你能够使用这个信息完成你的网络安全评估。
