20、安全报告查询创建指南

安全报告查询创建指南

在安全领域，创建高效的报告是制定安全策略的重要环节。然而，开发最初的几份报告往往是最困难的。很多人能想出宏大的想法，但对于如何实际实现它们却只有模糊的概念。下面将为大家介绍如何开启创建查询和报告的旅程。

开启报告创建之旅

开发带有高效报告的安全策略时，最初的几份报告开发是一大难题。不过，一开始先创建一些简单的高保真度报告是个不错的选择。高保真度报告通常基于单一、非常可靠的指标，比如对某个符合精确模式的恶意域的请求。如果能找到一个确凿表明存在安全问题的指标，创建针对该指标的报告就会很容易，而且无需对查询结果进行过多分析。

以下是一些开启报告创建的方法：
1. 回顾现有或历史案例调查数据
- 若过去有机器被入侵，回顾调查过程，查看日志中是否有指向安全事件的“确凿证据”指标，如恶意域名、IP 地址等。
- 若安装了杀毒软件，利用其标记的恶意软件名称在日志中查找更多感染迹象，还可能找到其他主机上的指标或与在线发布的恶意软件相关的指标。
- 若有事件的网络流量样本，可用于编写入侵检测系统（IDS）签名；若有可搜索的全数据包捕获系统，也可用相同指标搜索流量。
- 认证日志能提供有关登录是否异常的额外信息，还能检测暴力登录等严重滥用行为。
2. 搜索在线发布的指标
- 信息安全领域发展成熟，网上有很多关于监控和事件响应的内容。主要的研究人员和公司会在博客上发布当前研究和安全趋势，这些研究常附带示例指标或其他技术信息。
- 可以从主要的安全和杀毒公司开始搜索，然后根据当前安全趋势和相关研究人员拓展搜索范围。找到技术信息后