实战经验 | 企业安全运营如何做好数据接入？

1 项目背景

1.1 整体安全观

网络安全管理平台作为企业安全的大脑，也就是整个企业的安全运营中心，其数据接入的多少、好坏直接影响到安全运营的效果，如果以汽车来比喻的话，数据就是汽车的油箱或者电瓶，是保障汽车启动的动力。

1.2 安全现状

（一）数据接入不全面，告警结果不准确

企业IT资产的日志包括系统日志、中间件日志、数据库日志，安全设备日志、网络设备日志，其涉及的日志类型多、规模庞大，企业大部分未完成全部接入，存在监控死角；

（二）数据量呈现过多，重要信息难发现

以10Gbps流量的举例，大概每天会产生50000条左右的日志，但是真正有效的日志只有100条以内，想要在几万条的数据中发现几十条有用的数据，无异于是大海捞针；

（三）数据存在孤岛，数据无法串联

由于企业建设的阶段不同、要求不同，安全设备存在不同的安全厂商、安全设备之间能力未打通，因此无法进行关联分析，根据洛克希德马丁的杀伤链模型，攻击并不是凭空出现，安全设备的日志与系统的日志之间都是有关联的；

（四）能力建设缺失，未有统一规划

安全作为业务的附属，大多数企业在投资还是管理上都存在严重不足的情况，脑海中对安全的要求是不出事就可以，但是安全不同于业务，安全平常是不可见的，只有在被攻击的时候才会体现效果；

1.3 建设依据

1.3.1 网络安全法（日志）

第二十一条(三)项：采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

1.3.2 IPDDR（能力）

是美国国家标准与技术研究所（National Institute of Standards and Technology）的网络安全框架包括风险识别（Identify）、安全防御（Protect）、安全检测（Detect）、安全响应（Response）和安全恢复（Recovery）五大能力，从以防护为核心的模型，转向以检测和业务连续性管理的模型，变被动为主动，最终达成自适应的安全能力。

1.3.3 Agent（资产）

采集：物理设备的信息、软件平台和应用的信息等信息，实现内部资产全视图；

2 能力说明（数据接入）

日志采集应该具备多种采集协议包括

2.1 日志数据接入（采用标准化接口和自适应接口）

2.1.1 标准化接口：

制定接收安全设备日志的标准化接口，包括设备运行日志、设备风险日志等，因为其他比如操作系统、数据库等不太可能为你修改，建议不需要考虑，特别考虑网络设备的日志，有助于后续的整体IT资产的呈现。

2.1.2 自适应接口：

采取常规的数据日志对接，通常需要3~5天的研发、测试周期，对于现阶段的数字时代，这效率明显无法满足要求，通过自适应的日志接口，只需要简单的配置即可实现数据对接。

2.1.2.1 正则表达式拼接

2.1.2.2 自适应接口

根据自然语言学习，实现对字段内容的识别

2.2 能力接入（定制化或者标准化接口）

攻防对抗的本质就是发现时间+处置时间大于黑客盗取数据或者造成破坏的时间，我们越快进行处置，就越可能降低我们的损失。

2.2.1 定制化接口：

对接防火墙、XDR、EDR、WAF等具有阻断类型的安全设备，这样在可信的告警发现之后我们可以自动进行风险处置：

【单点风险管理】比如防火墙可以添加访问策略，组织黑客访问路径，比如XDR我们可以直接调用杀毒能力，将病毒消除，比如我们可以调用4A，直接将风险资产关机，比如我们可以调用交换机，直接切断网络；

【多点风险管理】当发现同一网络群中有一台资产发生告警，可以通过能力调用检查整个网络群中是否有同样的情况发生。

2.2.2 标准化接口：

制定安全能力调用的标准接口：应该包括唯一标识码、操作人、操作时间、操作系统、操作模块、操作动作、开始时间、结束时间等，此块主要针对的是业务系统能力调用，比如可以实现业务系统访问的精细化的控制，但风险升级时候，我们可以拒绝访问或者降低访问权限；

2.3 资产接入

人工接入：采用人工更新的方式对管理的资产数据进行更新，效率低并且不准确，只能作为辅助手段，小数据量进行使用；

自动接入：采用Agent代理自动采集资产属性，并且自动更新，现在业界此功能基本都已经很成熟，此块只要考虑如果兼容预留其他能力对接，比如我们有资产属性采集能力，我还需要对接防病毒能力、入侵检测能力，一个是在语言环境的兼容、一个是接口的兼容。

2.4 其他接入

威胁情报：外部开源威胁情报或者收费威胁情报能够进一步发现风险，威胁情报就是赌我不是第一个被攻击的，通过第一时间购买第一受害人的攻击详细信息，比如攻击源、攻击工具，攻击行为等数据，在黑客发起攻击的第一时间进行阻断；

风险情报：包括弱口令、基线、主机漏洞、WEB漏洞、数据库漏洞等信息，可通过扫描器或者外部公开的漏洞预警数据。

3 技术架构

实时处理；实时告警数据、高危告警数据

离线处理：统计数据、低危告警数据

4 关键点

日志数量大：采用日志压缩技术，在需要使用时候才进行解压，在效率和成本之间考虑；

日志类型多：将人力彻底又重复且价值低的工作中解放出来，采用自动化工具实现对接；

感兴趣的小伙伴，或者遇到任何安全问题的小伙伴都可以加我们官方客服进群互动，德斯克信息安全专家服务，为你解决信息安全问题！！！

本文作者：清年如水， 来自FreeBuf.COM