网络安全运营和事件管理(十):分析方法

admin 2023年3月18日20:28:46评论18 views字数 520阅读1分44秒阅读模式

《网络安全知识体系》

安全运营和事件管理(九)

分析:分析方法


3 分析:分析方法

根据不同的策略分析收集的跟踪,这些策略旨在将“良好”事件与指示攻击的事件区分开来。Denning的基本工作已经定义了多年来一直被研究,开发和商业化的两个数据分析技术家族。滥用检测(首先详细介绍)旨在描述跟踪中存在的恶意行为,以便在恶意行为事件集为反之,异常检测旨在表征“正常”行为,并在跟踪中的事件s与正常无关时发送警报。行为。在这两种情况下,科学文献中都描述了大量的算法。其中一些算法已应用于误用和异常检测

SOIM流程中,如图1所示,分析由传感器和SIEM平台这两个组件执行。图4优化了此过程。受监控的信息系统以日志文件的形式或通过专用的IDPS设备或软件(如图2中显示为看玻璃盒和文件)生成代表活动的跟踪。每个跟踪中的一个或多个事件可能会触发传感器发出警报。其中几个警报可能来自多个传感器,可能由SIEM在需要由操作员处理的事件中组装。

在本节中,KA解决了警报中事件的转换,这些事件可能是恶意活动的特征。在第4节中,KA解决了事件中警报的转换。

网络安全运营和事件管理(十):分析方法


图4:分析:从事件警报再到事件

原文始发于微信公众号(河南等级保护测评):网络安全运营和事件管理(十):分析方法

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月18日20:28:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全运营和事件管理(十):分析方法https://cn-sec.com/archives/1225852.html

发表评论

匿名网友 填写信息