Какие преимущества и недостатки имеет использование журнала событий в системах защиты информации?

Преимущества использования журнала событий в системах защиты информации:

• Мониторинг состояния системы. acribia.ru По журналам можно отслеживать сложные взаимодействия внутри системы, например, определять, как и куда распространяется вирус. acribia.ru
• Анализ и расследование инцидентов. acribia.ru owasp-top-10-proactive-controls-2018.readthedocs.io Например, по журналам можно найти информацию о том, предшествовал ли чему-то инцидент с прекращением работы сервера. acribia.ru
• Выполнение требований регулирующих органов. owasp-top-10-proactive-controls-2018.readthedocs.io Журналы регистрации событий безопасности могут быть использованы для снабжения системы обнаружения атак данными. owasp-top-10-proactive-controls-2018.readthedocs.io

Недостатки использования журнала событий в системах защиты информации:

• Объёмные журналы. www.securityvision.ru В случае включения всех рекомендованных политик аудита ИБ журналы событий становятся достаточно объёмными, поэтому поиск по их содержимому может быть медленным. www.securityvision.ru
• Необходимость защиты журналов. acribia.ru При малейшем сомнении в целостности и подлинности записей журнала такому же сомнению подвергается вся получаемая из него информация. acribia.ru
• Ограниченная информация о контексте событий. cloudnetworks.ru Например, система SIEM предлагает ограниченную информацию о контексте событий, поэтому может быть трудно отличить совершенно безвредное поведение от кражи конфиденциальных данных. cloudnetworks.ru