@Lemon
2年前 提问
1个回答

面向实战化的全局态势感知体系建设建议有哪些

上官雨宝
2年前

面向实战化的全局态势感知体系建设建议有以下这些:

  • 各类安全数据的采集是基础,决定了态势感知体系的整体能力,建议优先建设,可基于当前运营能力合理制定数据接入范围。例如,政企机构在安全运营早期仅能解决网络安全问题,此时可以主要考虑采集网络安全设备日志或网络流量数据,当政企机构有精力和有能力推动基于主机的威胁检测和响应时,可以再考虑接入服务器日志或终端行为日志。

  • 安全分析建设需要基于运营团队人员的能力进行逐步优化,同时可以利用安全厂商的各类规则能力或情报能力逐步提升。早期可依赖于单一厂家的规则或威胁情报,然后逐步提升自身的规则运营能力,后期可实现多情报接入以实现情报融合和自主可控的规则配置。

  • 当政企机构不存在具备狩猎能力的人员时,需要对交互式分析、威胁狩猎等建设要点慎重考虑。当团队内至少有一人具有精力和能力进行复杂的事件分析时,建议再进行考虑。

  • 当政企机构不存在较大规模的安全团队,也没有复杂的IT管理架构时,指挥和流程建设要适度。

  • 在体系建设中,运营团队的能力建设尤为关键,可以考虑早期以安全公司的运营服务作为支撑,同时逐步建立良好的团队文化,培养政企机构自身的运营能力,后期逐步与安全公司形成互补和配合工作的方式。