Как долго нужно хранить логи и зачем?

SIEM-гуру Антон Чувакин перешел с должности вице-президета Gartner на новую позицию в Google Chronicle, и опубликовал интересную статью «Хранение логов в течение года: скучно или полезно?» (англ.).

Следующая цитата раскрывает идею и пользу решения Anomali Enterprise:

«давайте попробуем задать вопрос по-другому: «Как долго логи могут быть полезными и активно использоваться, если вам не нужно платить за хранение?». Если задать вопрос в такой формулировке и расширить его с простых логов до, скажем, логов EDR и сетевого трафика, то ответ начинает выглядеть по-другому. Детекции на основе анализа шестимесячных данных не так уж редки, особенно для наиболее высокопрофильных злоумышленников. Вы действительно можете найти доказательства вторжения в прошлогодних данных, используя новую информацию, полученную сегодня. Подсказка для хантинга, которую вы получили сегодня, может стать той самой нитью, потянув за которую, вы найдете пресловутую APT в вашей среде.

Итак. Вывод: хранение логов в течение одного года является одновременно и скучным регуляторным требованием, и ключевым ресурсом для обнаружения наиболее серьезных угроз.»

Однако стоить добавить, что даже следуя логике Антона, 12 месяцев может быть недостаточно. Возможно, более верным сроком будет три года, или даже больше, в зависимости от критичности защищаемых вами ресурсов. Не менее важны функции эффективной интеграции той самой информации об угрозах, или киберразведки, в систему ретроспективного анализа, а также возможность моментального поиска индикаторов по большим массивам журнальных данных. Все три функции как раз и является отличительными особенностями решения Anomali Enterprise.

Дашборды Anomali Enterprise
Дашборды Anomali Enterprise

Чтобы узнать больше и протестировать решения Anomali, обращайтесь к дистрибьютору Тайгер Оптикс или авторизованным системным интеграторам.

About the author

Тайгер Оптикс является специализированным дистрибьютором решений по кибер-безопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://tiger-optics.ru.