2023年3月9日
02、大数据安全分析技术框架与关键技术
摘要: 转载公众号《微言晓意》,仅用于个人学习 大数据分析通过对安全告警、系统日志以及网络流量等海量多源异构数据进行采集、存储与分析,打破原有网络安全烟囱式防护模式,将所有安全防护措施与安全数据打通,解决网络安全防护孤岛和数据孤岛问题。大数据分析利用大数据技术对海量数据的高效计算能力,结合关联分析、深度学习 阅读全文
posted @ 2023-03-09 10:07 请你吃溜溜糖 阅读(393) 评论(0) 推荐(0)
01、为什么要用大数据技术进行安全分析?
摘要: 转载公众号《微言晓意》,仅用于个人学习 关于安全运营系列文章,在2020年10月份写了篇《安全运营的定义与核心目标》,算是开了个头。后面几个月由于精力不够,内容方向也没有想清楚,就一直没有继续写。 安全运营的范围太大了,还是觉得需要把方向聚焦下。所以我选择了在安全运营领域比较重要,同时自己又比较熟悉 阅读全文
posted @ 2023-03-09 10:03 请你吃溜溜糖 阅读(145) 评论(0) 推荐(0)
19、存在漏报对于安管平台来说是个多大的问题?
摘要: 转载公众号《微言晓意》,仅用于个人学习 我们一直说安全运营中心(SOC)的核心是安全分析,包括对已知威胁进行精准定位,能够深度检测未知威胁,并且丰富安全事件场景,以辅助安全运营决策。这里面最为浅显的道理就是,安管平台收集了各个单点设备的告警数据,所以单点设备有的安全告警,安管平台理所当然地也应该有; 阅读全文
posted @ 2023-03-09 09:46 请你吃溜溜糖 阅读(95) 评论(0) 推荐(0)
18、安全运营中心应该如何进行数据收集?
摘要: 关于安全运营中心到底应该如何收集数据的问题,起初很多人认为应该收集尽可能多的全量数据,但也有人认为收集那么多数据占用很多资源,有些数据收集上来又没有什么用,主张需要什么数据就收集那些数据。在讨论安全运营中心应该如何进行数据收集这个问题之前,我们先看一下Gartner关于安全分析三要素的方法论模型,如 阅读全文
posted @ 2023-03-09 09:45 请你吃溜溜糖 阅读(116) 评论(0) 推荐(0)
17、安全运营中心需要提升的核心能力
摘要: 转载公众号《微言晓意》,仅用于个人学习 根据NIST Cybersecurity Framework,网络安全工作可以分为识别、防御、检测、响应、恢复五个大的阶段,安全建设在识别、防御、恢复三个阶段成熟度已经比较高了,相比之下检测、响应是当前安全能力短板。 在检测方面,目前多是以单点检测为主,检测的 阅读全文
posted @ 2023-03-09 09:43 请你吃溜溜糖 阅读(105) 评论(0) 推荐(0)
16、安全告警关联相关安全分析场景
摘要: 转载公众号《微言晓意》,仅用于个人学习 安全告警关联分析归纳起来可以分为四类:1、同一攻击源/目的特定告警数量叠加,可能遭受持续性攻击;2、内网主机发起安全攻击,可能主机已经失陷、横向攻击;3)不同网络位置的关联告警,可能已经绕过边界防护;4)告警/异常告警关联后判定攻击成功。在前期三篇安全分析场景 阅读全文
posted @ 2023-03-09 09:40 请你吃溜溜糖 阅读(280) 评论(0) 推荐(0)
15、网络异常相关安全分析场景
摘要: 转载公众号《微言晓意》,仅用于个人学习 在大数据安全分析里,威胁情报关联(查看文章:威胁情报相关的安全分析场景)、账号异常分析(查看文章:账号异常相关安全分析场景)两类效果比较好,除此之外网络异常分析效果也比较好。网络异常相关安全分析场景非常的多,归纳起来大致分为三类:1、网络端口扫描异常;2、安全 阅读全文
posted @ 2023-03-09 09:39 请你吃溜溜糖 阅读(271) 评论(0) 推荐(0)
14、账号异常相关安全分析场景
摘要: 转载公众号《微言晓意》,仅用于个人学习 网络设备、安全设备、操作系统、中间件、应用系统都具有账号,只要有账号就会涉及到异常账号(状态)与账号异常(行为)的安全监控与分析。从风险类型来说,账号异常涉及到内部违规、暴力破解、账号失陷以及程序错误等类型,在安全日常监控与态势感知中都起到非常大的作用。 账号 阅读全文
posted @ 2023-03-09 09:38 请你吃溜溜糖 阅读(246) 评论(0) 推荐(0)
13、威胁情报相关的安全分析场景
摘要: 转载公众号《微言晓意》,仅用于个人学习 从安全告警层面来讲,威胁情报数据可以赋能给检测设备,同时也可以作为Context数据辅助安全分析。从异常检测层面来讲,威胁情报可以结合网络连接等数据,通过关联分析发现特定行为异常与安全风险。从分析方法层面来讲,威胁情报本质上属于黑名单机制,用于检测时的效果很大 阅读全文
posted @ 2023-03-09 09:37 请你吃溜溜糖 阅读(232) 评论(0) 推荐(0)
12、攻击链在大数据安全分析中的应用
摘要: 转载公众号《微言晓意》,仅用于个人学习 攻击链由攻击流程与防御概念构成。攻击流程分为侦察目标、制作工具、传递工具、触发工具、安装设置、命令与控制、目标达成等七个阶段。这七个阶段详细介绍如下: 1、侦察目标阶段 侦察目标阶段是攻击者为达成目标,进行探测、识别及确定攻击对象(目标)的过程。在这个阶段,可 阅读全文
posted @ 2023-03-09 09:35 请你吃溜溜糖 阅读(268) 评论(0) 推荐(0)