如何構建安全監控平臺（窮人也能玩安全）

關於安全監控平臺如何建立？

對於企業安全管理者是個比較頭疼的問題，那麼咱們逐個分析？

首先咱們是選擇是商業/開源

海量的告警信息有人看嗎？會有自動化處理嗎？

如何下降誤報率？如何精確匹配異常行爲？

監控的範圍以及層次，以核心資產爲中心進行保護，明確現有環境的邊界，儘可能將邊界全覆蓋

1、網絡層

數據源:出口流量鏡像

網絡IDS 起到了眼睛的做用，絕大多數××× 能夠經過編輯網絡IDS的規則即可以發現，好比SQLMAP， AWVS等等。

國內諸如鏡像流量分析的威脅感知系統也有不少家，就不一一舉例。

2、日誌的存儲及展現

數據源:出口流量鏡像
將外部訪問的HTTP/HTTPS數據從網絡流量中提取出來，以便後續使用。

能夠創建一個大型日誌分析平臺，將日誌範式化之後集中展示，使用報表查詢的方式精肯定位相關所需的行爲日誌。

三 訪問日誌(HTTP/HTTPS)&WEB 服務器日誌
數據源:出口流量鏡像
工具:E.L.K

四 主機層

數據源:主機IDS-OSSEC

主機的syslog 文件變動記錄、端口狀態等

五 網絡邊界

防火牆技術

waf

nmap與域名變動信息同步

利用nmap對公網地址段掃描實時獲取邊界對外發布的端口信息，持續監控域名資產。

六 審計設備

數據庫審計

基於實例的數據庫 關係型數據庫

。。。。。

以上就是窮人玩安全監控，基礎臺子已經搭好，那剩下的就是開發工做量了

見下圖：