不管是进步机能、汇集商业谍报仍是检测安然威胁，日记治理可以回结为三个步调：汇集日记、存储数据和阐发数据来发现模式。但是，当然汇集和阐发日记数据是SANS协会肯定的20个关头安然节制之一，大年夜大都企业并没有按期汇集和阐发其日记，除非有法令明文划定。IT治理和监控软件制造商SolarWinds的产品经理Nicole Pauls暗示，面对大年夜范围数据，信息手艺官很猜疑，不知道从哪里开端。

　　Dell SecureWorks的反威胁部门运营和开辟主管Ben Feinstein暗示，杰出的安然日记阐发首要环绕四个原则。起首，企业需要监控准确的日记，包含来自防火墙、虚拟专用收集(VPN)设备、web代办署理办事器和DNS办事器的数据。接下来，安然团队必需汇集企业收集内“正常”数据。第三，阐发师必需可以或许辨认其日记文件中表白存在报复打击的数据。最后，安然团队必需有一个法度用于响应日记阐发中肯定的事务。

　　Feinstein暗示，“假定你的安然团队不知道可疑行动是甚么模样，那么把所有的日记都放到SIEM系统里是没成心义的。”按照安然专家表白，企业应当查抄下面五个类型的事务：

　　1. 用户拜候异常

　　Active Directory域节制器的Windows安然日记和记实是发现收集中可疑勾当的第一个位置。权限更改、用户从长途未知地址拜候，和用户拜候一个系统拜候另外一个系统，都多是可疑勾当。

　　惠普ArcSight公司产品营销经历Kathy Lam暗示，“当我们在看报复打击类型，和报复打击者若何进进环境时，他们凡是假充用户在收集内暗藏数月，乃至超越一年，经由过程查看正常勾当基准，和当前勾当与基准的对比，就可以找出可疑勾当。”

　　特别首要的是特权账户，即在收集中多个系统具有治理员权限的用户。因为这些账户在收集中具有更多的权力，企业应当更紧密密切地监控这些账户。

　　2. 与威胁指标匹配的模式

　　公司还应当对比其日记中的数据与他们可以或许获得的威胁指标--不管是经由过程成立黑名单，仍是更周全的威胁谍报办事。

　　威胁指标可疑帮忙企业辨认防火墙、DNS办事器或web代办署理办事器日记中可疑的IP地址、主机名称、域名和歹意软件签名。他指出：“web代办署理办事器日记对收集流量有着强大年夜的可视性，即你的端点系统是若何连接到收集的。”

　　3.打算外的建设变动

　　获得对系统的拜候的报复打击者凡是会测验测验更改建设来进一步报复打击，和在收集中获得安身点。SolarWinds公司副总裁Sanjay Castelino暗示，因为大年夜大都企业限制建设更改到每周、每个月或每季度的有限时候内，这些建设更改(不管是打开系统仍是封锁日记记实功能)都可能表白报复打击正在进行中。

　　在某些环境下，这类阐发可以帮忙企业发现报复打击。用于治理安然产品的法则凡是很是复杂，我们很难经由过程简单的阐发来查抄这些法则是不是是歹意。相反地，安然团队很等闲标识表记标帜出任安在特定保护期外的变动。

　　4. 希罕的数据库传输

　　因为数据库是企业根本举措措施的首要部门，企业应当监测数据库传输环境来发现可疑勾当。例如，试图选择和复制大年夜范围数据的要求应当获得紧密密切存眷。

　　别的，监控数据库通信是不敷的。当然记实数据传输环境可能会影响数据库机能，但在查询拜访数据泄漏变乱时，这些记实是很是有价值的。安然治理公司Solutionary的工程研究团队研究主管Rob Kraus暗示：“当客户问我们哪些记实被拜候了，我们可疑证实哪些记实没有被拜候，萍踪凡是会牵引到数据库。假定没有记实这些数据，这会带来真实的挑战，你也说不清到底哪些记实被动过。”

　　5.新设备用户组合

　　在移动设备和携带本身设备到工作场合趋势呈现之前，企业可以将任何连接到收集的新的设备视为可疑对象。但此刻，这已不再是一个威胁唆使。

　　企业应当链接设备到其用户，并将变动视为可疑事务。他暗示，“你可能想要标识表记标帜设备，但你更应当将设备与用户联系在一路，因为假定我带我的平板电脑来上班，其他人不该该利用它来登录。”