日誌與事件監控

日誌（Log）是記錄各種事件以及前兆的主要工具，事件為在系統的任何操作，會導致系統中的元素發生可見的變化。Log 產生儲存與運算的成本，但對於發生意外時，以及日後進行歸責時非常重要，因此應正確設計日誌記錄功能，以及定期檢查日誌內容。

主要的控制框架（如 ISO 27001）都明訂了日誌的重要性，Log 需要記錄的內容包含但不限於：使用者名稱、系統活動、關鍵事件（如登入/登出）的時間點、設備、位置（如 IP）、是否被成功存取、變更系統設定、系統保護機制啟動或停用等事件。

Log 也應該對資訊環境的效能狀況進行記錄與監控，識別效能低落或運作不正常的系統、偵測外洩事件、提供系統使用記錄非常重要，透過將不同系統的事件進行關聯，可以更充分瞭解事件之間的關係。

Log 需要被定期檢查，以確認是否系統的各項操作都有被確實記錄外，更重要的是可以識別出資安事件、政策違規和其他的違規存取等事件，這些記錄對於日後如果需要進行數位鑑識時，都是非常重要的資訊，例如可以確認系統漏洞是否有被利用等。而實務上會因為 Log 數量龐大，需要透過一定條件篩選出可能需要被確認的 Log 記錄，例如 Splunk 等資料分析工具。

除了確認 Log 的狀態外，也應妥善保存 Log 檔案，遵守內外部的規範保留 Log，並防止遭到未經授權的修改、洩漏或滅失等。

實作方法

根據風險來自於流入或流出的流量，使用不同的工具：

流入

針對所有流入流量進行監控，例如防火牆、Secure Gateway、遠端驗證伺服器、IPS/IDS、SIEM、防毒軟體等。

流出

主要防止組織資料外洩，因此通常使用 DLP（Data Loss Prevention），可能是網路設備型，也可能是本機安裝 Agent 形式，可以檢查所有傳輸至組織外部的資料，包含 Email、可攜式裝置、FTP、網站上傳/輸入、API 等形式資料傳輸皆能監控，並於偵測到時進行相對應的動作，例如阻擋、告警、要求主管放行等動作。