SEC09-02 安全事件记录及分析

在发生安全事件之前，可以考虑构建取证能力来支持安全事件调查工作。记录攻击和异常行为并对其分析：应在关键网络节点处（例如内外网的交界处、ELB流量转发处等）检测、防止或限制网络攻击行为；应采取技术措施对采集的安全日志进行持续监控和分析，实现对网络攻击特别是新型网络攻击行为和异常行为的识别和分析。

• 风险等级

  高

• 关键策略
  • 在发生安全事件之前，可以考虑构建取证能力来支持安全事件调查工作。记录攻击和异常行为并对其分析：应在关键网络节点处检测、防止或限制网络攻击行为；应采取技术措施对采集的安全日志进行持续监控和分析，实现对网络攻击特别是新型网络攻击行为和异常行为的识别和分析。
  • 基于安全事件进行攻击链分析和攻击溯源, 包含攻击的各个路径，初始访问、执行、持久化、权限提升、防御绕过、凭证访问、信息收集、横向移动、数据采集、命令控制、数据窃取和影响破坏等。
  • 可基于流批一体化平台，支持在线、近线和离线的各种异常行为分析模型的构建，包含身份防线，网络防线，应用防线，数据防线，运维防线和主机防线等。也可同时基于AD-HOC实时进行安全事件分析，并聚合成各种报表动态化展示分析。
• 相关云服务和工具
  • 安全云脑 SecMaster