问：我们利用托管安全服务提供商（以下简称MSSP）收集各种日志文件，并在达到特定条件时向我们发出警报。我们正在深入检查我们的防火墙、Windows服务器和防病毒软件的日志文件，以确定我们要对哪些事件提高警觉。然而，在每种日志类型中，值得注意的各种类型的事件数量巨大。您认为什么事件最需要警惕？

　　答：首先需要指出的是，你们能够认识到防火墙、Windows服务器和防病毒软件是网络中的关键资产，并积极主动地收集它们的日志文件，这是一个良好的开端。由于这些资产提供的日志记录数量非常庞大，所以使用这些日志记录确定需要提高警觉的事件已经足够了。下面将分别介绍如何分析这三类资产的日志文件。

　　我首先来说一下防火墙。从你的描述来看，你们公司可能只部署了一道防火墙，而且该防火墙很可能是位于公司内部网络和Internet服务提供商（ISP）之间的网络边界上。如果是这种情况，你将会看到，防火墙可能会创建大量的日志记录。原因很简单，因为防火墙暴露在公共Internet中。不过，大多数企业防火墙允许管理员配置其将转交给日志记录工具的日志的详细级别。一般情况下，我将从一个比较小的日志记录子集（例如一天时间内的日志记录）开始，首先检查一段时间内的聚合日志记录。此时，我会快速浏览这些按记录标识号排序的日志记录。大多数防火墙允许对日志记录进行修剪，以消除不需要的记录。如果你们公司的防火墙日志被配置为“信息（Informational）”或“调试（Debug）”级别（最高系统日志级别），则将有大量的数据需要检查。因为在这种情况下，几乎所有在防火墙上发生的事件都将被记录。

　　大多数公司往往会认为，所有被防火墙禁止的事件都是最需要警惕的。虽然不能否认被禁止事件的日志记录值得警觉，但是一些访问关键资产的“允许（Allow）”事件的日志记录更值得注意。你们公司可能制定了允许特定流量进入的防火墙规则，这些流量可能是访问公司DMZ的流量，也可能是来自一个B2B连接的流量。通常情况下，这些都是可被用作攻击手段的最常见的漏洞，尤其是当防火墙被配置为完全开放（即全子网）方式时。虽然这些类型的事件可能不会作为“拒绝（Deny）”事件出现在日志记录中，但是它们对于识别服务器正在受到异常访问至关重要。

　　遗憾的是，大多数企业都没有实行出口过滤（Egress Filtering）。实际上，应该禁止内部用户在未使用一定级别的代理或过滤服务的情况下任意访问外部网络。防火墙日志是一个巨大的信息源，可以记录那些已经离开或正在试图离开网络的外部访问。由于防火墙的所有日志记录数量巨大，可以将检查日志记录的任务缩小为重点关注入口日志中的关键资产，然后再慢慢仔细检查你们公司网络中关键资产的日志记录。

　　有许多功能强大的日志记录产品可以分析Windows服务器的日志记录。了解你们公司网络中哪些事件属于正常操作，对于发现需要注意的事件十分重要。如果你们的Windows服务器只是使用目录服务进行身份验证，那么这一问题就非常简单。反之，如果要考虑所有可能相关的其他服务，则事情立刻就变得复杂起来。

　　如果你们公司没有时间进行基线分析，则有些产品可以帮助你们完成这一工作。一款名为OSSEC HIDS的工具可以使基线分析过程更加容易。OSSEC是一个免费、开源的主机入侵检测系统，其中包括一个关联和分析引擎，可以帮助你执行相关的基线分析。由于你们是利用MSSP收集各种日志文件的，因此可以轻松建立一个安装有OSSEC的系统，OSSEC可以将相关的事件信息提交给你们的MSSP，从而可以帮助你们通过OSSEC执行基线分析获得日志记录的可见性，这是OSSEC最妙的功能。OSSEC还可以与防病毒软件日志进行关联，因为OSSEC本身可以读取这些日志记录，并在事件偏离基线操作时发出警报。虽然还有一些类似的其他解决方案，但OSSEC是一个完全免费和开源的产品，而且如果需要的话，OSSEC还提供了付费支持选项。

　　尽管许多公司使用了一些共同的软件和硬件技术，但是每个公司的网络和资产情况都是独一无二的，而且其关键数据也是各不相同的。切记，在制定安全策略和建立支持系统时，一定要适合自己公司的具体情况。