《IT审计日志分析指南.docx》由会员分享,可在线阅读,更多相关《IT审计日志分析指南.docx(8页珍藏版)》请在优知文库上搜索。
1、财务审计,直接打交道的是财务数据,就是我们财务系统中导出来的报表、现金流量表、科目余额表、序时账。当然做收入、成本类科目的时候也会去看业务数据,一般也是看业务系统导出来的报表(很多时候,业务系统导出来的明细数据很大,财务审计一般没有能力审核)。而IT审计会关注整个业务中的数据流转,从源头到最终的财务数据。对于中间不同系统间的流转会进行数据核对。而常规的对数据的分析,一般也是针对业务数据,比如从不同维度分析收入明细的真实性、合理性。这种分析一般直接从数据库里导出审计期间数据,依据表中有哪些字段,研究分析的维度,也会结合行业特点,也会用一些统计学的知识。一般来说,SQ1.来分析就足够了。审计的局限
2、其实,不论我们从财务数据出发,从业务数据出发,我们都有一个共同的目标-应对舞弊。虽然,我们认真执行程序很多情况下,我们能发现问题。但这好像不够直接。我做假账,我会给你标记出来我做假账吗?我给你配上业务数据呢?我再给你配上资金呢?我再给你配上外部配合的公司呢?可能我们也很难发现问题,这就是我们说的审计的局限性。我缺少整个链条的全貌,我看到的都是别人想给我看的。日志前面说的财务数据和业务数据都是我们经常审计的,那么机器数据是什么呢?就是我们系统运行记录的各种日志。应用系统日志比如,如果我去改账,如果导出的序时账没有记录修改日期,那么日志会记录,我看你日志记录的去年的大量凭证,都是集中在今年修改的,
3、是不是有问题呢?同样的我想看你改成本,就去看关账操作和反结账操作的日志。总之,你如果真想看什么,口志会如实记录一切。这是财务系统的,业务系统也一样。公司如果是电商,我们一般都会看数据库中没有有记录能识别终端客户身份的ip,mac,IMEI等,从这些维度去分析下集中度。但不是所有公司都能获取到这些字段,或者存储了这些字段。但其实还有很多日志可以用,比如网站使用的nginx或apache服务能记录用户访问的日志(包含ip)。当然,还有公司为经营需要在网页上埋点留下的访问数据。这些数据我们也都暂且称为机器数据或者日志。数据库日志除了应用系统,企业的数据库层面的所有操作也会有日志,你想看企业有没有写个
4、脚本批量修改,理论上只要它有日志,就能查看。日志审计的工具可以看到,其实我们可以获取的东西还是挺多的,但实际工作中,很少利用。为什么?没有这个技术。13.44,58.1-160c202003l313*0800)GET/HTTP1,1403146-*lkZl1la/5.0Macintosh;IntelMCOSX10.11.6AppleWebKit601.7./KHTW1.,HlceGeckoVersion/9.1.2Saf*r601.7.7-61.183.201.26-16Dec2020:03:31:340M01%TZMTTP1.r301162-iOZill5.0MlndcwsNT6.1Appl
5、eWebKlt537.36KMTU1.IllceGeckoChro035.0.1916.13Safari/537.36220.181.10.112-(16Dec/2020:03:33:28OSOO)-GET/HTTP1.1J04O-*lto2ill5.0compatible;BaIduspider/2.O;httprwww.bidu.cxiearchspidr.htnl*61.183.201.2S-(16/Dec/2O2O:O3:33:320M0-G三T/HTTPH.T2001013-nNo2111S.0WindowWT6.1AppleWebKit/537.36KMTMl.likeGeckoC
6、rme35.0.1916.153Sfari537.W13.66139.9S-(160ec2020:04:03:U0800)eGET/HTTP/1.V2001013-Moxlla5.0cop.atble;bingbot/2.0;httprwmw.bin.cfblncbot.hta192.35.IM.176(1Dec2020:04:25:440800)eGET/HTTPAI.V403146-MMozilla/S.O2grab0.xw80.82.70.187-(16(kc2020:04:27:070800%EThttp:/w.bal(ju.concchezill203.208.60.103-16De
7、c2020rG4:27240800wGET/HTTP/1.12001013*MozlllaS.0conpAtlblc;GoogIebot/2.1;*http:/www.google.contot.htal49.7.20.78-(16/Dec/2020:04:S5:28*0800)*C6T/HTTP/1.1-2001013eeSogoumbspldr4.0*http:/wvm.otou.C(MdocshelpNerasters.htM07.91.241.19.84-(16/Otc/2O2O:(M:55:5O*0800)POSTvtcppunKphpunKsrcUtlPHPevaltdl.phpH
8、TTP/1.1-403MS-*ozlllS.0WindonNT10.0;WxnM;x64AppIeMebKit/537.36KHTM1.,likeGeckoChroe78.0.3904.108XfrS37.3691.241.19.84-(.l6Dec20200455:*0800)GET/solranInfozsystenTwt-JsonHTTP/1.1403548-mMoz11U5.0W1MSUPerSet是PythOn开发的软件,安装起来其实还挺费劲的。不过操作起来简单,强大,免费。networkX这个工具和日志也没有什么关系了,是我昨天看到的一个python库。专长画网络关系。之前我们介绍
9、过gephi软件来查找网络关系。比如,这是我画的一家物流公司起运地与运达地的网络关系,可以清楚地看到公司业务的以哪几个城市为关键中心向外幅射。同样的,如果一个电商充值记录,我们以ip,或者id作为节点,也可以去发现异常节点。很多数据都有网络关系,比如公司造假,资金出去通过一圈公司又回来了,如果我们能拿到全部相关公司资金数据,这样一张网络图可以清晰分析出公司的资金流向,当然我们是不可能拿到。但时代在发展,说不定将来有一天,监管机构的系统自动能分析出了。就像现在的发票一样。gephi的缺点太明显,能处理数据量很小,对于大数据量可以考虑使用python的networkX库。以上提到的工具在大数据量的
10、日志或业务数据分析中比较可靠,并且免费,可以作为我们平时使用sql、PythOn分析的辅助手段。附参考:日志审计系统日志审计系统是用于全面收集企业IT系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志(包括运行、告警、操作、消息、状态等)并进行存储、监控、审计、分析、报警、响应和报告的系统。一、为什么要使用日志审计?1、满足法律法规要求国家的政策法规、行业标准等都明确对日志审计提出了要求,日志审计已成为企业满足合规内控要求所必须的一项基本要求。2017年6月1日起施行的中华人民共和国网络安全法中规定:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留
11、存相关的网络日志不少于六个月。网络安全等级保护基本要求(GRT22239-2019)中规定:二到四级需要对网络、主机、应用安全三部分进行日志审计,留存日志需符合法律法规规定。2、满足系统安全管理需求当前信息安全形势日益严峻,信息安全防护工作面临前所未有的困难和挑战。日志审计能够帮助用户更好监控和保障信息系统运行,及时识别针对信息系统的入侵攻击、内部违规等信息,同时日志审计能够为安全事件的事后分析、调查取证提供必要的信息。二、日志审计基本功能日志监控提供日志监控能力,支持对采集器、采集器资产的实时状态进行监控,支持查看CPU、磁盘、内存总量及当前使用情况;支持查看资产的概览信息及资产关联的事件分
12、布;日志采集提供全面的日志采集能力:支持网络安全设备、网络设备、数据库、WindoWSZlinux主机日志、Web服务器日志、虚拟化平台日志以及自定义等日志;提供多种的数据源管理功能:支持数据源的信息展示与管理、采集器的信息展示与管理以及agent的信息展示与管理;提供分布式外置采集器、Agent等多种日志采集方式;支持IPV4、IPv6日志采集、分析以及检索查询;日志存储提供原始日志、范式化口志的存储,可自定义存储周期,支持FTP日志备份以及NFS网络文件共享存储等多种存储扩展方式;日志检索提供丰富灵活的日志查询方式,支持全文、key-value多kv布尔组合、括弧、正则、模糊等检索;提供便捷的日志检索操作,支持保存检索、从已保存的检索导入见多条件等;日志分析提供便捷的日志分析操作,支持对日志进行分组、分组查询以及从叶子节点可直接查询分析日志;日志转发支持原始日志、范式化日志转发;日志事件告警内置丰富的单源、多源事件关联分析规则,支持自定义事件规则,可按照日志、字段布尔逻辑关系等方式自定义规则;支持时间的查询、查询结果统计以及统计结果的展示等;支持对告警规则的自定义,可设置针对事件的各种筛选规则、告警等级等;日志报表管理支持丰富的内置报表以及灵活的自定义报表模式,支持编辑报表的目录接口、引用统
免费区 