Преимущества использования журнала событий в системах защиты информации:
- Мониторинг состояния системы. 2 По журналам можно отслеживать сложные взаимодействия внутри системы, например, определять, как и куда распространяется вирус. 2
- Анализ и расследование инцидентов. 24 Например, по журналам можно найти информацию о том, предшествовал ли чему-то инцидент с прекращением работы сервера. 2
- Выполнение требований регулирующих органов. 4 Журналы регистрации событий безопасности могут быть использованы для снабжения системы обнаружения атак данными. 4
Недостатки использования журнала событий в системах защиты информации:
- Объёмные журналы. 1 В случае включения всех рекомендованных политик аудита ИБ журналы событий становятся достаточно объёмными, поэтому поиск по их содержимому может быть медленным. 1
- Необходимость защиты журналов. 2 При малейшем сомнении в целостности и подлинности записей журнала такому же сомнению подвергается вся получаемая из него информация. 2
- Ограниченная информация о контексте событий. 3 Например, система SIEM предлагает ограниченную информацию о контексте событий, поэтому может быть трудно отличить совершенно безвредное поведение от кражи конфиденциальных данных. 3