40. 在設計應用程式的日誌管理時，下列哪一種做法最能幫助快速偵測並回應潛在的安全事件？
(A) 只記錄應用程式的主要功能操作，可忽略登入及權限變更等活動
(B) 將日誌以純文字格式儲存在本地伺服器上，不需備份
(C) 設定日誌警報機制，在偵測到異常行為時即時通知管理員
(D) 定期刪除日誌，以避免佔用過多儲存空間

這題的正確答案是：

(C) 設定日誌警報機制，在偵測到異常行為時即時通知管理員

解析

這題考的是 主動式監控 (Proactive Monitoring) 與 安全維運中心 (SOC) 的基本概念。

為什麼 (C) 是最佳做法？

• 即時性： 單純「記錄」日誌是被動的，只有當管理員去翻閱時才會發現問題。設定**「警報 (Alerting)」** 則將被動轉為主動，讓系統在偵測到特定攻擊特徵（如：短時間內 5 次登入失敗、深夜異常存取敏感資料）時，立即透過 Email、SMS 或 Slack 通知管理員。

• 縮短反應時間： 這能大幅縮短 平均偵測時間 (MTTD) 與 平均回應時間 (MTTR)，將損害控制在最小範圍。

其他選項為什麼是錯誤的（甚至是危險的）？

• (A) 只記錄主要功能操作，可忽略登入及權限變更等活動：

  • 大錯特錯： 登入失敗、權限提升、密碼變更 是資安鑑識中最關鍵的證據。忽略這些紀錄等於對駭客「開大門」，完全無法追蹤入侵者的足跡。這違反了 OWASP Top 10 A09 (Security Logging and Monitoring Failures)。

• (B) 將日誌以純文字格式儲存在本地伺服器上，不需備份：

  • 單點脆弱性： 如果駭客攻破了這台伺服器，第一件事就是刪除或竄改本機的 Log (清除痕跡)。

  • 正確做法： 應採用 集中式日誌管理 (Centralized Logging)，將 Log 即時傳送到遠端的 Log Server 存放，確保證據保全。

• (D) 定期刪除日誌，以避免佔用過多儲存空間：

  • 鑑識需求： 許多 APT 攻擊 (進階持續性威脅) 的潛伏期長達數個月。如果為了省空間而過早刪除 Log，當發現資料外洩時，早已沒有幾個月前的 Log 可供調查。

  • 合規要求： 法規（如 ISO 27001、PCI DSS、個資法）通常要求 Log 至少保存 6 個月到 1 年以上。