安全运营中心之全流量系统建设(2)

当我们有了基础的网络数据，也经过监督或者非监督学习后，那么接下来需要做什么？在我们应急响应的安全实践过程中，我们发现网络获取到安全威胁分类，需要进一步丰富客户端的数据，例如：EDR数据才能更真实有效的确定攻击。否则无法形成闭环。那么如何把整个调查过程连接在一起呢？所以真正能形成战斗力的解决方案：NTA+EDR+SOAR。

0x03、总结

1.拥有一套网络元数据存储方案，方便调查回溯。

2.企业应该强烈考虑NTA使用全新的机器学习检测手段来补充基于签名检测方法。NTA工具检测到其他外围安全工具遗漏的可疑网络流量。

3.单存NTA解决方案是无法满足用户应急响应需求的，需要EDR丰富入侵证据，需要SOAR融入自动化应急响应流程。

（编辑：ASP站长网）