超级会员免费看
网络安全技术与协议深度解析
一、SIEM系统相关功能
- 时间同步
SIEM系统依赖于所有收集和关联数据的主机之间保持时间同步。若计算机时钟不同步,关联的事件可能无法按正确顺序排列。通常使用网络时间协议(NTP)来实现各收集点之间的时间同步。例如,在一个企业网络中,SIEM服务器收集来自多个服务器和计算机的日志和事件,如果时间不同步,就无法准确地将这些事件按时间顺序排列,从而影响对安全事件的分析和处理。 - 数据包捕获
SIEM系统具备捕获和分析数据包的能力,一旦检测到威胁进入网络,能立即向安全团队发出警报。这有助于及时发现潜在的安全威胁,采取相应的措施进行防范。 - 数据输入
- 用户行为分析(UBA) :基于用户的日常交互,关注用户身份以及他们正常访问的数据。通过跟踪用户常用的设备和访问的服务器,当应用于整个公司时,可以识别出偏离正常模式的潜在攻击者。例如,某个员工平时只在办公时间访问公司内部系统,突然在深夜频繁登录并访问敏感数据,就可能存在安全风险。
- 安全监控 :这是一个实时保护和事件监控系统,能够关联来自多个资源的安全事件,识别安全漏洞,并帮助安全团队防止漏洞的发生。
二、SOAR系统
SOAR是一种自动化工具,它将所有安全流程和工具集成到一个中心位置。相比人工搜索攻击证据,它能更快地检测到威胁,减少平均检测时间(M
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
