SEC09-01 实施标准化管理日志

对身份防线、网络防线、应用防线、主机防线、数据防线和运维防线等日志实施标准化管理，以监测系统和用户活动，实现日志的统一管理，并确保透明可追溯。

• 风险等级

  高

• 关键策略
  • 跟踪并监测对网络资源和关键数据的所有访问。通过系统的活动记录机制和用户活动跟踪功能可有效降低恶意活动对于数据的威胁程度。常见的安全日志如主机安全日志、操作系统日志、堡垒机日志、IAM日志、WAF攻击日志、CFW日志、VPC流日志、DNS日志等。当系统出现错误或安全事件时，通过执行彻底地跟踪、告警和分析，可以较快地确定导致威胁的原因。
  • 确保日志存储时长满足需求。主机和云服务的日志数据上报至云日志服务（LTS）后，在默认存储事件过期后会被自动删除。因此，需要用户根据业务需求配置存储时长。对于需要长期存储的日志数据，应在 LTS中配置日志转储。
  • 对于大型企业，涉及多账号统一安全管理和运营。集中收集来自多云环境、多账号和多云服务产品的日志、告警、配置、策略和资产数据等，提高安全运营和运维效率，实现企业的多账号与资源的统一管理。基于统一管理日志，可支持统一存储、统一分析、统一建模、统一威胁分析、统一编排响应、统一态势报告和统一安全策略管理等。
• 相关云服务和工具
  • 云日志服务 LTS：使用LTS记录日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。
  • Web应用防火墙 WAF
  • 安全云脑 SecMaster