近期，以澳大利亚、美国为首的多家全球网络安全机构批准发布了旨在建立日志记录和威胁检测基本标准的指导意见，以应对日益严重的网络威胁。

据报道，该指南由澳大利亚、美国、加拿大和英国等国家的网络安全机构联合发布，旨在强化网络监控，特别是针对控制平面操作和关键软件配置更改。指南建议组织记录所有API调用、用户登录和管理更改等事件，并确保日志数据易于访问和分析。此举旨在通过早期检测恶意活动，提升组织的响应能力。此外，美国CISA还推出了免费开源的日志管理工具，以支持资源匮乏的组织加强网络安全。

随着网络攻击手法的日益复杂，针对控制平面操作和关键软件配置更改的复杂攻击，特别是恶意行为者越来越多地采用LOTL（Living Off the Land）技术和无文件恶意软件发起的复杂网络攻击，传统的网络安全防御措施已难以满足当前的安全需求。因此，多国网络安全机构决定联合制定并发布《事件日志与威胁检测指南》，以强化网络监控和威胁检测能力，旨在通过早期检测恶意活动，提升组织的响应能力。

以LOTL攻击为例，LOTL是一种网络攻击技术，也被称为“无文件恶意软件”或“LOLbins”攻击。该技术的核心在于，网络犯罪分子利用受害者系统内的原生合法工具来维持和推进攻击，而无需在目标系统中安装任何额外的代码或脚本。LOTL攻击是无文件的，这意味着攻击者不需要在目标系统中植入任何恶意代码或脚本文件，从而降低了被传统安全工具检测到的风险。攻击者使用受害者系统内的合法工具来执行攻击。这些工具在正常情况下是合法且广泛使用的，因此很难被安全软件识别为恶意行为。

相关人员介绍，指南为信息技术决策者、技术运行维护商、网络管理员等提供了实施建议，确保关键系统安全稳定。事件日志记录中，指南建议组织记录所有API调用、用户登录和管理更改等事件，并确保日志数据易于访问和分析。强调了优化事件日志记录策略的重要性，以提高对网络安全事件的检测能力。

在威胁检测能力方面，提出了有效事件记录解决方案的关键目标，包括生成关键网络安全事件的警报、检测潜在事件、确保有效事件响应等。提供了关于实施用户和实体行为分析（UEBA）以提高威胁检测能力的指导，以及确保事件日志存储安全和完整性的建议。

美国CISA推出的免费开源日志管理工具LME（Logging Made Easy）

此外，美国CISA还推出了免费开源的日志管理工具LME（Logging Made Easy），旨在帮助没有专门网络安全人员的小型企业和组织实现基础级别的集中化安全日志管理，并提供攻击检测功能。通过集中管理Windows系统客户端的安全日志，LME可以帮助这些组织及时发现并应对潜在的网络安全威胁。

该指南的发布为网络安全领域的事件日志记录和威胁检测提供了重要的参考标准，有助于推动相关标准的制定和完善。对于参与组织来说，能够自身的网络安全防御能力，通过实施指南中的最佳实践，组织可以更有效地检测和应对网络安全威胁，增强网络安全态势。推动组织内部网络安全体系的完善和优化，提高整体安全水平。

多国网络安全机构的联合发布体现了国际间在网络安全领域的合作与共识，促进国际间在网络安全领域的合作与信息共享，有助于共同应对全球性网络安全挑战。推动网络安全技术的发展和应用，为构建更加安全、可信的网络环境提供有力支持。