关于安全监控平台如何创建?

对于企业安全管理者是个比较头疼的问题,那么我们逐个分析?

首先我们是选择是商业/开源

海量的告警信息有人看吗?会有自动化处理吗?

如何降低误报率?如何精确匹配异常行为?

监控的范围以及层次,以核心资产为中心进行保护,明确现有环境的边界,尽量将边界全覆盖

一、网络层

数据源:出口流量镜像

网络IDS 起到了眼睛的作用,绝大多数××× 可以通过编辑网络IDS的规则便可以发现,比如SQLMAP, AWVS等等。

国内诸如镜像流量分析的威胁感知系统也有很多家,就不一一举例。

如何构建安全监控平台(穷人也能玩安全)_第1张图片

二、日志的存储及展示

数据源:出口流量镜像
将外部访问的HTTP/HTTPS数据从网络流量中提取出来,以便后续使用。
如何构建安全监控平台(穷人也能玩安全)_第2张图片

可以建立一个大型日志分析平台,将日志范式化以后集中展现,使用报表查询的方式精确定位相关所需的行为日志。

三 访问日志(HTTP/HTTPS)&WEB 服务器日志
数据源:出口流量镜像
工具:E.L.K
如何构建安全监控平台(穷人也能玩安全)_第3张图片

四 主机层

数据源:主机IDS-OSSEC

如何构建安全监控平台(穷人也能玩安全)_第4张图片

主机的syslog 文件变更记录、端口状态等

五 网络边界

防火墙技术

waf

nmap与域名变更信息同步

利用nmap对公网地址段扫描实时获取边界对外发布的端口信息,持续监控域名资产。

六 审计设备

数据库审计

基于实例的数据库 关系型数据库

。。。。。

以上就是穷人玩安全监控,基础台子已经搭好,那剩下的就是开发工作量了

如何构建安全监控平台(穷人也能玩安全)_第5张图片

见下图:

如何构建安全监控平台(穷人也能玩安全)_第6张图片

如何构建安全监控平台(穷人也能玩安全)_第7张图片