以安全事件以及结果为导向的安全行为问题发现--未完待续

      自己逻辑思维一直不怎么好，说话逻辑需要加强，从最近的这个想法写起吧。 由于工作的需要一直在实施研究安全管理平台（SOC），基于爱好兴趣，最近在学习使用python进行数据挖掘（这个数据挖掘也需要改天说一下，很有意思。），看着看着相关资料，就想到把这两个东西结合一下，用数据挖掘(其实是数据科学）思维对类似SOC之类的平台实现IT信息安全问题的发现及挖掘。

   首先，日志数据、流量数据等IT行为数据（暂且这么叫吧，之所以这里叫IT行为数据，因为只为行为才能产生数据，静止的东西就不需要关心了。）行为数据非常丰富，一直是静静躺在系统里面的黄金白银，站在安全视角去开发这些黄金非常重要，利用这些行为数据进行IT安全分析，得出安全结论或者安全预测，掌握整个信息系统（业务系统）的安全状态，是安全数据挖掘分析的目标。

  那问题就来了，我们要实现对IT行为数据的安全分析，得出安全状态，安全结论、安全问题、告警，那我们需要考虑几个问题.

  1，为了达到我们的目的，我们需要采集那些东西，怎么采集?

  2，为了达到我们的目的，按照什么方法去挖掘和分析我们得到的数据（日志、流量、配置信息、漏洞信息内部数据以及威胁情报等外部数据）。

  3，得到数据，通过什么方式展现IT企业的业务及系统的安全状态最为直观、准确，并且可以第一时间提示用户。

 

 1、采集那些东西呢？，首先，我认为采集整个IT资产的所有数据，其中包含但不限于如业务系统信息，网络设备、安全设备、应用系统、中间件、数据库、操作系统、甚至机房环境的所有日志及流量进行统一采集、分类，归并，可以说CMDB数据库里的东西我们都要有，而且我们还要去主动或被动的采集日志、流量、漏洞、配置、性能信息。也就是要做到知己，知己就是了解自己，有哪些业务，这些业务有哪些中间件和数据库做支持，这些中间件及数据库是安装在哪个操作系统之上，这些操作系统又是按照在哪个虚拟化或硬件设备之上，了解了业务本身，我们才能关注与该业务相关所有的安全状态，

当然除了采集以上IT内部信息外，站在安全角度还需要采集外部知识，就是要做到知彼！

 

 

 

 

  2、到这里才感觉我写的题目是说明这一点的，采集上来数据后，应该怎么发现威胁、站在那种角度去关注整个IT系统的安全呢，应该是以结果及事件为导向的安全问题发现机制。这样才能发现数量丰富及准确的安全事件及安全问题。

   

 

先写到这把---11-16