阿摩線上測驗
39. 企業透過日誌管理,處理大量且複雜的日誌資訊(例如:logs & events),IT 部門或是資安部門將這些記錄使用在容量監 控管制、故障排除、合規性記錄留存、資安威脅檢測與鑑識…等目的,關於日誌管理的敘述,下列何者錯誤?
(A) 可用於事件取證,日誌資訊對於原因的判別是關鍵點,而在還不確定原因之前,則需要全面性的收集日誌資訊
(B) 為了滿足不同的法規規範,日誌成為稽核重要的參考資料
(C) 日誌管理,可以用在事件警示,卻不適用在 SOC (Security Operation Center)管理
(D) 沙賓法案(SOX)或是醫療保險相關法案 (HIPAA)這一類的法遵,都會要求讓日誌成為重 要稽核軌跡(audit trail)
答案:登入後查看
統計: A(45), B(41), C(1160), D(55), E(0) #3173309
統計: A(45), B(41), C(1160), D(55), E(0) #3173309
詳解 (共 2 筆)
cherry
#7381070
為什麼選 (C)?(它是錯誤的敘述)
錯誤原因: 敘述中提到日誌管理「不適用於 SOC 管理」,這完全講反了。事實上,日誌管理是 SOC(資安維運中心)運作的核心命脈與基石!
正確觀念: SOC 的主要任務是 7x24 小時監控企業網路安全、偵測威脅並做出回應。而 SOC 內部最核心的武器 SIEM(安全資訊和事件管理系統),就是負責把來自全公司防火牆、伺服器、資料庫、網域控制器(AD)的海量日誌(Logs)集體回收、關聯分析,進而找出潛在的駭客攻擊跡象。沒有日誌管理,SOC 就等於瞎了眼,根本無法運作。
正確觀念: SOC 的主要任務是 7x24 小時監控企業網路安全、偵測威脅並做出回應。而 SOC 內部最核心的武器 SIEM(安全資訊和事件管理系統),就是負責把來自全公司防火牆、伺服器、資料庫、網域控制器(AD)的海量日誌(Logs)集體回收、關聯分析,進而找出潛在的駭客攻擊跡象。沒有日誌管理,SOC 就等於瞎了眼,根本無法運作。
其他正確選項觀念解析
(A) 可用於事件取證... 在還不確定原因之前,則需要全面性的收集日誌資訊
正確。 當企業發生資安事件(如被駭客入侵或資料外洩),數位鑑識專家第一步就是去調閱日誌(稱為 Audit Trail / 稽核軌跡)。因為在調查初期根本不知道駭客是從哪個漏洞爬進來的,所以必須採取「全面收集、細心過濾」的策略,才不會漏掉關鍵證據。
(B) 為了滿足不同的法規規範,日誌成為稽核重要的參考資料
正確。 現代不管是政府稽核、還是 ISO 27001 認證,外部稽核員(Auditor)來公司開查時,絕對不是聽你口頭報告,而是直接要求你「拉出某段時間的系統登入與操作日誌」。有日誌才能證明公司確實有落實資安政策。
(D) 沙賓法案 (SOX) 或是醫療保險相關法案 (HIPAA) 這一類的法遵,都會要求讓日誌成為重要稽核軌跡 (audit trail)
正確。 * SOX(沙賓法案): 主要管金融與上市櫃公司的財務誠實度,為了防止內部人員篡改財務數據,強制要求保留 IT 系統的操作日誌。
HIPAA(醫療保險速度與責任法案): 保護病患的極度敏感隱私,任何人員讀取、修改病歷,都必須留下不可篡改的日誌,以備法規稽核。
0
0
