安全运营中心之全流量系统建设(2)
发布时间:2019-08-08 12:43 所属栏目:20 来源:bt0sea
导读:当我们有了基础的网络数据,也经过监督或者非监督学习后,那么接下来需要做什么?在我们应急响应的安全实践过程中,我们发现网络获取到安全威胁分类,需要进一步丰富客户端的数据,例如:EDR数据才能更真实有效的确
当我们有了基础的网络数据,也经过监督或者非监督学习后,那么接下来需要做什么?在我们应急响应的安全实践过程中,我们发现网络获取到安全威胁分类,需要进一步丰富客户端的数据,例如:EDR数据才能更真实有效的确定攻击。否则无法形成闭环。那么如何把整个调查过程连接在一起呢?所以真正能形成战斗力的解决方案:NTA+EDR+SOAR。 0x03、总结 1.拥有一套网络元数据存储方案,方便调查回溯。 2.企业应该强烈考虑NTA使用全新的机器学习检测手段来补充基于签名检测方法。NTA工具检测到其他外围安全工具遗漏的可疑网络流量。 3.单存NTA解决方案是无法满足用户应急响应需求的,需要EDR丰富入侵证据,需要SOAR融入自动化应急响应流程。
(编辑:ASP站长网) |
相关内容
网友评论
推荐文章
热点阅读