关于安全运营中心到底应该如何收集数据的问题,起初很多人认为应该收集尽可能多的全量数据,但也有人认为收集那么多数据占用很多资源,有些数据收集上来又没有什么用,主张需要什么数据就收集那些数据。在讨论安全运营中心应该如何进行数据收集这个问题之前,我们先看一下Gartner关于安全分析三要素的方法论模型,如下图所示安全分析三要素:应用场景、分析方法和数据源,三者缺一不可。
安全分析有两种思路,一种可以从数据源头出发,收集全量数据,然后依据数据,挖掘分析场景,寻找分析技术;也可以从应用场景出发,按应用场景收集数据,寻找分析技术。
从安全数据的内容来讲,数据类别包括三类,第一类是安全告警数据(IDS、WAF等),这部分属于高威胁、低可信数据;第二类是内容数据(主机、流量等),这部分属于低威胁、高可信数据;第三类是上下文数据(资产、威胁、漏洞等),这部分属于辅助数据。安全分析、数据类型这两点讲清楚了,回过头再来看如何进行数据收集,根本不需要争论到底是收集全量安全数据,还是需要什么数据再收集什么数据了,只要把握以下的策略方法就可以了。1、告警类数据本身就归安全职能所有,所以需要对其进行全量收集,有多少就收集多少,存储至少保证六个月。这原因主要是:1)满足安全合规要求;2)持续进行场景建模;3)方便攻击溯源与威胁猎捕。2、内容类数据大部分归网络或运维团队所有,应由其所有者存储全量数据。而且这部分数据类型和数量远比告警要多,安全团队没必要再单独存一份全量的数据,所以应该按安全运营需要从运维大数据中取。3、上下文数据权属比较复杂,有些可能属于运维团队(比如资产),有些属于安全团队(威胁情报、漏洞等),但这部分数据从安全分析来讲属于辅助数据,所以可以按安全分析的需要,以及安全运营的能力进行采集。
标签:分析,12,收集,安全,全量,运营,数据 From: https://www.cnblogs.com/qinke/p/17197216.html