| 用户安全管理审计主要用于与用户管理相关的数据收集、分析和存档以支持满足安全需要的标准。用户安全管理审计主要是在一个计算环境中抓取、分析、报告、存档和抽取事件和环境的记录。安全审计分析和报告可以是实时的,就像入侵检测系统,也可以是事后的分析。
|
|
|
|
|
| (1)用户安全审计数据的收集,包括抓取关于用户账号使用情况等相关数据。
|
|
|
| (2)保护用户安全审计数据,包括使用时间戳、存储的完整性来防止数据的丢失。
|
|
|
| (3)用户安全审计数据分析,包括检查、异常探测、违规分析、入侵分析。
|
|
|
|
|
| (1)了解系统通常会发生什么,哪些资源是用户通常要登录访问的,什么时间是用户访问的高峰时段,只有知道自己网络的一些基本信息才可以针对一些异常状况做出有效及时地审核,从而发现问题所在。
|
|
|
| (2)正如上面提到,应该有用户通常登录系统的时段的记录,所以当发现个别用户在一个不寻常的时间登录就需要注意了,当然这不能确切地说明受到攻击,但可以为管理员进一步地审核提供线索。
|
|
|
| (3)登录失败的审核应该特别引起留意,任何入侵通常不会像正常用户那样,顺利地登录系统,一般都会进行多次尝试,因此对于某个账户在一段时间内多次出现登录失败的记录就应该多加留意。
|
|
|
