2014年10月份,SANS发布了2014年度的《日志管理调查报告》。在今年,对于日志分析/安全分析的报告分为了两个,一个是延续了2013年的安全分析(Security Analytics)的调研报告,另一个则是重新续上了2012年的日志管理(Log Management)的调研报告。在2013年,两个调研主题合并到一起了。这也说明了安全分析与日志管理正在向着不同的路径前进。

这次调研了522名专业人士。其中97%的受访者都表示他们收集了日志【在2012年这一数据则是89%】,42%的受访者将这些日志送给了SIEM来进行分析和管理。与之前(2012年)一样,人们对日志管理最大的抱怨依然是如何有效识别高级威胁,占了46%的受访者。


调研问题1:收集日志的原因

85%的人认为是“检测和追踪可疑行为;65%的人选择了”支撑IT/网络的例行维护“;62%的人选择了”取证分析“。这与2012年的调研没有太大出入。


调研问题2:日志管理的挑战

最大的3个挑战依次是:大数据分析、关联分析、日志的范化和分类。


调研问题3:日志采集的日志源

最多的是安全设备、网络设备,以及主机操作系统(尤其是Windows,还有虚拟环境),再往后是WEB日志、业务系统日志、终端日志,访问控制日志。


调研问题4:每天的日志量

接近30%的组织每天日志量小于50GB,超过每天1TB的不到10%。【其实不是日志量少,而是国外日志归并过滤做的比较多,对此,Gartner的SIEM MQ报告中有企业通常EPS等级的评估】


调研问题5:花费在日志分析上的时间

22%的人每周1~4小时,另有22%的每周超过1天。情况好于上次调研。


调研问题6:日志留存时间

40%的人选择90天到1年之间。34%的人选择1~7年。29%的人选择30~90天。至于企业和组织在评估留存日志时长的时候,主要考虑的三大因素是:为了调查/取证,遵循企业一般的实践经验,为了做历史/趋势分析。


调研问题7:在调查取证的时候,最常查询的信息

登录/注销、登录失败、密码错误;与恶意代码、僵尸网络或其他可疑行为相关的源目的流量信息;×××用户的信息、时长、位置和连接的频度;DNS请求信息。


调研问题8:日志管理的自动化程度

46%的受访者表示所在组织和企业实现了部分自动化的日志管理(含自动化分析)。调研表明,用户未来会越来越倾向于将日志分析过程自动化。这也是日志量不断增大后的必然选择。


最后,调研报告表示,“A Long Way, Baby”,什么意思?没错,日志管理还需要继续不断提升,还有很长的路要走。

【参考】

SANS:2013年度安全分析(日志管理)调查报告

SANS:2012年度日志管理调查报告

SANS:2011年度日志管理调查报告

SANS:2010年度日志管理调查报告