2022年04月03日
安全事件发生时,响应团队经常面临同样的窘境:缺乏可用的日志。在缺乏日志和配置糟糕之间,企业往往比想象的还要盲目,直到网络攻击事件将残酷的真相摆在眼前。
日志就是存储计算机系统或应用程序中各事件操作的文件。尽管相当简单,事件日志却是安全分析师确定网络安全事件原因、性质和影响的主要信息来源。然而,此类文件却常常缺失,甚至根本不存在。
而且,日志缺乏并非什么秘密。大多数事件响应人员都认为,如果从一开始就有合适的日志可用,他们的响应速度会快上许多;但通常,他们拿不到合适的日志。
最令人惊讶的是,系统管