安全取证和信息收集

2019-08-22 11:3154

我是IBM CIO下属的一个小组的成员,其章程是管理和分析安全事件。我们被要求检查大量的用户和服务器端数据。所以我的问题是,我们与谁合作,以获得对特定帐户的用户和服务器端活动的访问权限。例如,我现在持有一张票,麒麟已经记录了单个帐户的大量下载活动,而帐户持有人断言这不是他的活动。因此,标记的活动日期和时间的高级列表是不够的。我需要知道更多关于这件事。再说一遍,尽管这只是一个例子。整体而言,问题是我们@ibm如何与麒麟中或该关系的ibm方的正确人员进行联锁,以便于收集此类信息、日志、详细信息等。

最新评论
  • 魑魅魅魅魅魅
    魑魅魅魅魅魅2019-08-22 11:44

    @Stephen_Rifkin,

    您将希望与麒麟管理员一起工作。S/He可以访问一系列报告工具,这些工具可用于此类查询的第一次通过。我们能够获得满足约95%这些查询所需的信息。在您的示例中,您可以提取下载文件的人的IP地址。社区站点上没有关于管理报告的很好的文档,但是管理报告区域即将重新设计,新报告UI的这段视频提供了可用报告的概述。

    麒麟平台Support在填补其他5%时间的空白方面一直是一个很好的合作伙伴。您可以与您的麒麟 CSM沟通,为不同级别的需求制定上报/参与策略。我还建议使用CloudLock或Netskope等工具,这些工具可以更系统地监视访问和活动,并在出现异常时触发警报。

    Bob