03 2023 档案

摘要:SOAR的概念最初是Gartner在2015年提出的,指的是“Security Operations, Analytics and Reporting Stack”,即“安全运维分析与报告”。 随着安全技术与市场的演变,SOAR的定义也发生了变化。近些年,国内外安全厂商将重点都放在未知威胁检测上,但 阅读全文
posted @ 2023-03-09 12:13 请你吃溜溜糖 阅读(400) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 由于网络空间态势感知的数据来自众多的网络设备,其数据格式、数据内容、数据质量千差万别,存储形式各异,表达的语义也不尽相同。如果能够将这些使用不同途径、来源于不同网络位置、具有不同格式的数据进行预处理,并在此基础上进行归一化融合操作,就可以为网络安全态势感知提供 阅读全文
posted @ 2023-03-09 10:16 请你吃溜溜糖 阅读(77) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 大数据分析中的数据采集方式包括Logstash、Flume、Fluentd、Logtail等,本文对这几种数据采集技术进行简要介绍。 Logstash Logstash是一个具备实时处理能力的开源的数据收集引擎。可以动态地从不同的来源收集数据,将数据处理(过滤 阅读全文
posted @ 2023-03-09 10:15 请你吃溜溜糖 阅读(198) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 大数据分析中数据传输方式包括SYSLOG、kafka、JDBC/ODBC、文件或FTP、Agent等方式,本文对数据传输方式进行简要介绍。 SYSLOG syslog日志消息既可以记录在本地文件中,也可以通过网络发送到接收syslog的服务器。 接收syslo 阅读全文
posted @ 2023-03-09 10:13 请你吃溜溜糖 阅读(399) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 安全告警、系统与应用日志、网络流量以及资产漏洞、威胁情报等数据中,都包含大量有价值的安全信息,对这些分离的多源异构数据进行统一的采集与预处理,能够为网络安全大数据分析提供重要的数据基础。 日志数据 日志文件由日志记录组成,每条日志记录描述了一次单独的事件。与一 阅读全文
posted @ 2023-03-09 10:09 请你吃溜溜糖 阅读(151) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 大数据分析通过对安全告警、系统日志以及网络流量等海量多源异构数据进行采集、存储与分析,打破原有网络安全烟囱式防护模式,将所有安全防护措施与安全数据打通,解决网络安全防护孤岛和数据孤岛问题。大数据分析利用大数据技术对海量数据的高效计算能力,结合关联分析、深度学习 阅读全文
posted @ 2023-03-09 10:07 请你吃溜溜糖 阅读(352) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 关于安全运营系列文章,在2020年10月份写了篇《安全运营的定义与核心目标》,算是开了个头。后面几个月由于精力不够,内容方向也没有想清楚,就一直没有继续写。 安全运营的范围太大了,还是觉得需要把方向聚焦下。所以我选择了在安全运营领域比较重要,同时自己又比较熟悉 阅读全文
posted @ 2023-03-09 10:03 请你吃溜溜糖 阅读(126) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 我们一直说安全运营中心(SOC)的核心是安全分析,包括对已知威胁进行精准定位,能够深度检测未知威胁,并且丰富安全事件场景,以辅助安全运营决策。这里面最为浅显的道理就是,安管平台收集了各个单点设备的告警数据,所以单点设备有的安全告警,安管平台理所当然地也应该有; 阅读全文
posted @ 2023-03-09 09:46 请你吃溜溜糖 阅读(66) 评论(0) 推荐(0) 编辑
摘要:关于安全运营中心到底应该如何收集数据的问题,起初很多人认为应该收集尽可能多的全量数据,但也有人认为收集那么多数据占用很多资源,有些数据收集上来又没有什么用,主张需要什么数据就收集那些数据。在讨论安全运营中心应该如何进行数据收集这个问题之前,我们先看一下Gartner关于安全分析三要素的方法论模型,如 阅读全文
posted @ 2023-03-09 09:45 请你吃溜溜糖 阅读(112) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 根据NIST Cybersecurity Framework,网络安全工作可以分为识别、防御、检测、响应、恢复五个大的阶段,安全建设在识别、防御、恢复三个阶段成熟度已经比较高了,相比之下检测、响应是当前安全能力短板。 在检测方面,目前多是以单点检测为主,检测的 阅读全文
posted @ 2023-03-09 09:43 请你吃溜溜糖 阅读(72) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 安全告警关联分析归纳起来可以分为四类:1、同一攻击源/目的特定告警数量叠加,可能遭受持续性攻击;2、内网主机发起安全攻击,可能主机已经失陷、横向攻击;3)不同网络位置的关联告警,可能已经绕过边界防护;4)告警/异常告警关联后判定攻击成功。在前期三篇安全分析场景 阅读全文
posted @ 2023-03-09 09:40 请你吃溜溜糖 阅读(163) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 在大数据安全分析里,威胁情报关联(查看文章:威胁情报相关的安全分析场景)、账号异常分析(查看文章:账号异常相关安全分析场景)两类效果比较好,除此之外网络异常分析效果也比较好。网络异常相关安全分析场景非常的多,归纳起来大致分为三类:1、网络端口扫描异常;2、安全 阅读全文
posted @ 2023-03-09 09:39 请你吃溜溜糖 阅读(171) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 网络设备、安全设备、操作系统、中间件、应用系统都具有账号,只要有账号就会涉及到异常账号(状态)与账号异常(行为)的安全监控与分析。从风险类型来说,账号异常涉及到内部违规、暴力破解、账号失陷以及程序错误等类型,在安全日常监控与态势感知中都起到非常大的作用。 账号 阅读全文
posted @ 2023-03-09 09:38 请你吃溜溜糖 阅读(158) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 从安全告警层面来讲,威胁情报数据可以赋能给检测设备,同时也可以作为Context数据辅助安全分析。从异常检测层面来讲,威胁情报可以结合网络连接等数据,通过关联分析发现特定行为异常与安全风险。从分析方法层面来讲,威胁情报本质上属于黑名单机制,用于检测时的效果很大 阅读全文
posted @ 2023-03-09 09:37 请你吃溜溜糖 阅读(135) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 攻击链由攻击流程与防御概念构成。攻击流程分为侦察目标、制作工具、传递工具、触发工具、安装设置、命令与控制、目标达成等七个阶段。这七个阶段详细介绍如下: 1、侦察目标阶段 侦察目标阶段是攻击者为达成目标,进行探测、识别及确定攻击对象(目标)的过程。在这个阶段,可 阅读全文
posted @ 2023-03-09 09:35 请你吃溜溜糖 阅读(170) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 目前已有的CEP引擎根据事件处理语言可以分为两大类:面向流和面向规则的CEP引擎。面向流的CEP引擎有Microsoft Streamlnsight、Oracle CEP、IBM SPADE、Esper等。而面向规则的CEP引擎有IBM Amit、TIBCO 阅读全文
posted @ 2023-03-09 09:33 请你吃溜溜糖 阅读(599) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 复合事件架构是由史丹佛大学的David Luckham与Brian Fraseca所提出,使用模式比对、事件的相互关系、事件间的聚合关系,目的从事件云(event cloud)中找出有意义的事件,使得IT架构可以更能弹性使用事件驱动架构,并且能使企业更能快速的 阅读全文
posted @ 2023-03-09 09:32 请你吃溜溜糖 阅读(715) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 大数据关联分析提供了基于规则、基于统计的关联分析功能,能够实现对于安全事件的误报排除、事件源推论、安全事件级别重新定义等效能。 ▼▼关联分析简介关联分析是在大规模数据集中寻找有趣关系的任务。这些关系可以有两种形式:频繁项集、关联规则。频繁项集是经常出现在一块儿 阅读全文
posted @ 2023-03-09 09:29 请你吃溜溜糖 阅读(212) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 大数据安全分析需要支持对接分布式数据库进行离线批处理分析,来实现长周期的网络安全、用户行为、业务安全分析,所以大数据平台首先需要支持批处理模式。网络流量产生的实时数据往往是高吞吐量的,一个小型Mbps的企业网络,每秒都能产生几千条数据。所以大数据平台必须要能在 阅读全文
posted @ 2023-03-09 09:26 请你吃溜溜糖 阅读(172) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 鉴于网络安全数据组成的复杂性、规模,以及对实时搜索响应的需求,需要通过大数据存储集群快速实现空间的扩容,在PB级的安全数据中做到安全分析查询的秒级响应,同时需要为数据提供了冗余机制,保障数据的安全。 ▼▼Hbase Hbase是一个提供高可靠、高性能、可伸缩、 阅读全文
posted @ 2023-03-09 09:23 请你吃溜溜糖 阅读(335) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 1、安全运营当下越来越流行的背景: 安全运营变得越来越重要的原因,或者说是越来越需要安全运营的背景,主要包括四个方面:1)安全项目实施有了必要的安全防护基础(成熟度);2)安全控制需要落地,细节需要完善(最后一公里);3)安全建设需要向管理层展现成果与成绩(效 阅读全文
posted @ 2023-03-08 12:26 请你吃溜溜糖 阅读(151) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 在网络安全等级保护测评中,需要对测评对象所包含的资产进行梳理,形成《网络安全等级测评调研表》以能够支撑测评工作的顺利开展。《网络安全等级测评调研表》包含如下13张资产识别表: 表1-系统基础信息表 包含定级系统信息、系统所属单位信息、系统责任方信息。 表2-物 阅读全文
posted @ 2023-03-08 11:53 请你吃溜溜糖 阅读(53) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 目前大部分单位都无法准确地说出需要保护的资产数量,互联网暴露面很难梳理清楚,出现安全事件后无法第一时间定为到责任人,这些可以说是当前大部分组织的资产管理现状。 互联网暴露面收敛、安全漏洞修复与验证、威胁检测与分析、安全事件响应与处置,这些日常安全运营与攻防对抗 阅读全文
posted @ 2023-03-08 11:49 请你吃溜溜糖 阅读(203) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 关于资产管理的话题,已经写了《不同资产管理系统之间的对比与关系》、《为什么传统资产管理无法满足安全运营的需求》、《资产管理在安全运营中应该发挥什么样的作用》、《网络安全资产管理系统建设实践要点总结》四篇,内容基本上算是比较完整了。 今天写一篇资产管理相关的扩展 阅读全文
posted @ 2023-03-08 11:47 请你吃溜溜糖 阅读(96) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 资产管理对于网络安全的作用已经应用场景已经在前面几篇文章中说明了,道理讲完了最终还是要回到产品选型、部署、运营上来,所以今天总结一下网络安全资产管理系统建设的几个关键要点。 ▼▼要点一:网络安全资产管理产品选型关注要点 网络安全资产管理类产品最为核心是资产的发 阅读全文
posted @ 2023-03-08 11:46 请你吃溜溜糖 阅读(221) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 “刚刚又出现一个Struts2安全漏洞,统计下哪些系统涉及到这个漏洞,赶紧进行修复。”然后下发通知、开会布置、人工统计…这是安全运营中最常见的一幕。“目前互联网暴露面资产到底有多少?开放了哪些服务?赶紧梳理下,能不开放的尽量关掉。”然后层层下发通知、开会布置、 阅读全文
posted @ 2023-03-08 11:43 请你吃溜溜糖 阅读(94) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 在上一篇《不同资产管理系统之间的对比与关系》中,从使用用户、服务职能、资产范围、资产颗粒度与资产属性五个维度,对固定资产管理系统、配置管理数据库(CMDB)系统、网络安全资产管理系统进行了简单的对比。 同时,在文章的末尾也提到了现存的固定资产管理系统、配置管理 阅读全文
posted @ 2023-03-08 11:40 请你吃溜溜糖 阅读(92) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 目前很多单位已经建设了固定资产管理系统、CMDB系统,这些系统与安全运营中的资产管理系统相比的侧重点有什么不同?这些系统之间有什么的相互关系?我们做一个简单的对比说明。 不同资产管理系统之间的区别 我们从使用用户、服务职能、资产范围、资产颗粒度与资产属性五个维 阅读全文
posted @ 2023-03-08 11:35 请你吃溜溜糖 阅读(215) 评论(0) 推荐(0) 编辑
摘要:转载公众号《微言晓意》,仅用于个人学习 在CIS Controls(V7.1)中20个控制域中,有7个域共计19个控制项涉及到了资产管理相关内容,通篇读读这些条款还是能发现一些有价值的信息。其实提到「资产」每个人的理解不一样,在安全领域指的是信息资产(参加文章:信息安全内涵与外延),是信息安全(保密 阅读全文
posted @ 2023-03-08 11:21 请你吃溜溜糖 阅读(85) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示