安全攻防技能 30 讲
何为舟
前微博安全研发负责人
34681 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
推荐试读
换一换
课程目录
已完结/共 41 讲
开篇词 (1讲)
开篇词 | 别说你没被安全困扰过
时长 09:32
安全基础概念 (5讲)
01 | 安全的本质:数据被窃取后,你能意识到问题来源吗?
时长 14:24
02 | 安全原则:我们应该如何上手解决安全问题?
时长 17:30
03 | 密码学基础:如何让你的密码变得“不可见”?
时长 17:52
04 | 身份认证:除了账号密码,我们还能怎么做身份认证?
时长 16:26
05 | 访问控制:如何选取一个合适的数据保护方案?
时长 16:22
Web安全 (7讲)
06 | XSS:当你“被发送”了一条微博时,到底发生了什么?
时长 20:31
07 | SQL注入:明明设置了强密码,为什么还会被别人登录?
时长 15:14
08 | CSRF/SSRF:为什么避免了XSS,还是“被发送”了一条微博?
时长 18:27
09 | 反序列化漏洞:使用了编译型语言,为什么还是会被注入?
时长 16:35
10 | 信息泄露:为什么黑客会知道你的代码逻辑?
时长 11:14
11 | 插件漏洞:我的代码看起来很安全,为什么还会出现漏洞?
时长 13:24
12 | 权限提升和持久化:为什么漏洞修复了,黑客还是能够自由进出?
时长 14:49
Linux系统和应用安全 (5讲)
13 | Linux系统安全:多人共用服务器,如何防止别人干“坏事”?
时长 13:13
14 | 网络安全:和别人共用Wi-Fi时,你的信息会被窃取吗?
时长 14:20
15 | Docker安全:在虚拟的环境中,就不用考虑安全了吗?
时长 15:58
16 | 数据库安全:数据库中的数据是如何被黑客拖取的?
时长 13:02
17 | 分布式安全:上百个分布式节点,不会出现“内奸”吗?
时长 13:06
安全防御工具 (7讲)
18 | 安全标准和框架:怎样依“葫芦”画出好“瓢”?
时长 12:21
19 | 防火墙:如何和黑客“划清界限”?
时长 13:35
20 | WAF:如何为漏洞百出的Web应用保驾护航?
时长 12:59
21 | IDS:当黑客绕过了防火墙,你该如何发现?
时长 16:44
22 | RASP:写规则写得烦了?尝试一下更底层的IDS
时长 13:00
23 | SIEM:一个人管理好几个安全工具,如何高效运营?
时长 14:10
24 | SDL:怎样才能写出更“安全”的代码?
时长 13:55
业务安全 (6讲)
25 | 业务安全体系:对比基础安全,业务安全有哪些不同?
时长 13:41
26 | 产品安全方案:如何降低业务对黑灰产的诱惑?
时长 12:48
27 | 风控系统:如何从海量业务数据中,挖掘黑灰产?
时长 14:41
28 | 机器学习:如何教会机器识别黑灰产?
时长 13:05
29 | 设备指纹:面对各种虚拟设备,如何进行对抗?
时长 15:27
30 | 安全运营:“黑灰产”打了又来,如何正确处置?
时长 13:08
知识串讲 (3讲)
模块串讲(一)| Web安全:如何评估用户数据和资产数据面临的威胁?
时长 12:08
模块串讲(二)| Linux系统和应用安全:如何大范围提高平台安全性?
时长 09:38
模块串讲(三)| 安全防御工具:如何选择和规划公司的安全防御体系?
时长 10:35
特别加餐 (5讲)
加餐1 | 数据安全:如何防止内部员工泄露商业机密?
时长 08:50
加餐2 | 前端安全:如何打造一个可信的前端环境?
时长 14:53
加餐3 | 职业发展:应聘安全工程师,我需要注意什么?
时长 11:46
加餐4 | 个人成长:学习安全,哪些资源我必须要知道?
时长 10:20
加餐5 | 安全新技术:IoT、IPv6、区块链中的安全新问题
时长 09:52
结束语 (2讲)
结束语 | 在与黑客的战役中,我们都是盟友!
时长 05:03
结课测试|这些安全知识,你都掌握了吗?
时长 00:37
安全攻防技能 30 讲
15
15
1.0x
00:00/00:00
登录|注册

23 | SIEM:一个人管理好几个安全工具,如何高效运营?

何为舟
建立短期预期,并且快速迭代
完整的安全运营流程
安全运营目前遇到的痛点的典型场景
SIEM需要管理哪些设备,收集哪些数据
SIEM的落地和生效是一个长期发展的过程
安全的发展,前期在于技术建设,长期在于运营升级
人员投入不足
数据维度缺失
垃圾数据太多
运营阶段
建设阶段
设计阶段
制定计划
完整的运营流程
数据分析统计
收集日志
思考题
总结
SIEM落地中有哪些常见问题?
SIEM是如何落地的?
SIEM有哪些功能?
文章主题:一个人管理好几个安全工具,如何高效运营?

该思维导图由 AI 生成,仅供参考

你好,我是何为舟。
在前面的课程中,我们介绍了一些常见的安全产品。但实际上,解决公司的安全问题,并不是部署了这些安全产品就万事大吉了。安全防护的过程是一个与黑客持续进行攻防对抗的过程,黑客总是能够发现新的方法,绕过安全产品的防护,实施攻击。
如果黑客绕过安全产品,我们应该如何及时发现黑客的攻击呢?具体来说,我们应该如何对黑客的攻击路径和攻击产生的影响进行统计分析?以及在发现黑客的攻击之后,我们要如何提取攻击特征,补充安全产品的检测规则呢?这些都是我们需要持续关注的事情。因此,我们常说“建立一个安全体系很简单,运营好一个安全体系却很复杂”。
我们经常会使用 SIEM(Security Information and Event Management,安全信息和事件管理),来帮助我们运营一个安全体系。通过 SIEM,我们可以将散落于各个系统、设备和安全产品中的日志进行汇总和梳理,快速串联出黑客的完整攻击路径,更高效地完成安全体系运营的工作。
那 SIEM 究竟是如何高效运营安全体系的呢?下面,我们一起来看。

SIEM 有哪些功能?

我们先来说一下 SIEM 是什么。简单来说,SIEM 就是一个基于各类日志,提供安全运营和管理能力的统一平台。基于这个定义,我们来总结一下 SIEM 的功能。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

如何高效运营多个安全工具 本文重点介绍了如何高效运营多个安全工具,特别是SIEM(Security Information and Event Management)在安全体系运营中的重要性和功能。SIEM通过收集、分析和管理各类日志,帮助安全运营人员快速发现并处理安全事件,提高运营效率和质量。文章强调了SIEM的运营导向,指出SIEM的落地需要长期计划和运营能力。SIEM的落地计划通常包括设计、建设和运营三个阶段,需要公司投入大量时间、人力和成本。在设计阶段,需要明确公司对SIEM的需求,并总结出详细的需求列表。建设阶段需要建立短期预期,并快速迭代,以建立正确的预期和增强公司对SIEM项目的信心。运营阶段需要不断满足安全运营需求为导向,持续完善SIEM功能,提升安全运营人员的工作效率。此外,文章还强调了SIEM落地中常见的问题,包括垃圾数据过多、数据维度缺失和人员投入不足。最后,文章总结指出SIEM的落地和生效是一个长期发展的过程,需要做好长期规划、明确需求,一步一个脚印去迭代发展,才能最终将SIEM长期稳定地运营和使用起来。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《安全攻防技能 30 讲》新⼈⾸单¥59
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
01 | 安全的本质:数据被窃取后,你能意识到问题来源吗?
02 | 安全原则:我们应该如何上手解决安全问题?
06 | XSS:当你“被发送”了一条微博时,到底发生了什么?
14 | 网络安全:和别人共用Wi-Fi时,你的信息会被窃取吗?
加餐4 | 个人成长:学习安全,哪些资源我必须要知道?
27 | 风控系统:如何从海量业务数据中,挖掘黑灰产?
登录 后留言

全部留言(10)

  • 最新
  • 精选
  • leslie
    个人觉得SIEM的问题与现状和现在对于DBA的需求非常类似:项目的开始和高速发展/后期需要。 和一些企业聊过:数据库上云了就可以不用DBA了,可是过了个2-3年后发现没有还是不行,团队大了数据库又不止一种了没有就更加不行;造成了一个很鸡肋的现状。开始设计阶段需要-能大幅控制和保证效率,中间阶段不需要-数据量不大只能纯监工,高速发展阶段需要-性能优化。 上述是跟着老师学到现在的最现实的感受:互联网安全的事情现阶段确实和数据系统的现状非常类似。 感谢老师的分享:期待后续的更新。

    作者回复: 大部分非业务的团队都是这样的现状。开始打个基础,中期就没啥事做了,到后期又需要大规模优化。目前也只能不断去调整团队的方向和规模,来适应公司的发展。

    2020-02-10
    3
  • 半兽人
    正好之前看过Google出的书:SRE,运营确实是个比较大的话题,强调开发与运维人员要一起配合。Google干脆直接定义出一个SRE的岗位

    作者回复: 运维很重要,但事情又非常的琐碎,想要做好运维还是很不容易的。

    2020-03-23
    1
  • 小老鼠
    1,如何评估SIME的ROI来评估是否使用或不使用SIME,若使用是自己开发还是买商用的?2,SIME只有大公司才有可能使用吧?中小型公司没几个安全工貝,没有必要用SIME吧?3,可以使用splunk来建设SIME吗?听说splunk很贵但很好,在SIME用到splunk的企业多吗?

    作者回复: 1、安全工作中的ROI都不是很好评估,我们目前主要还是通过拦截和发现的风险等来衡量工作成果。缺点就是,一旦没人攻击你,就没有工作成果了。 2、安全工具足够多了才使用,因为SIEM对数据要求很高。 3、Splunk没接触过,基于ELK自己开发的倒是不少。最终都是自己按需求,累加界面和功能。

    2020-03-03
    2
  • 爱学习的超人张
    老师好,我看您提到了很多次“安全运营”,请问安全运营的含义是什么呢?都包含了哪些操作呢?
    2021-09-18
    1
  • 大王叫我来巡山
    没有一劳永逸,只能不断战斗
    2020-03-02
    1
  • Dolphin
    SIEM和SOC的区别是?
    2022-05-22
  • 亚林
    大数据工程师上线
    2021-07-10
  • Geek_b8316f
    老师你好,请问下SIEM与日志审计,态势感知的区别
    2021-01-16
    1
  • 小晏子
    课后思考:想像一下,如果公司使用了很多安全产品,那么首先需要有个面板能够看到所有安全产品的状态,方便管理; 另外需要SIEM要收集安全产品的用户登录日志,行为日志,查看是否有异常用户,是否有非法操作;还有需要将所有安全产品本身的监控日志关联起来,就像文中说的要能够根据这些数据进行发现追踪;需要SIEM能将所有安全产品的日志按照某一个标准相关关联,方便分析,也要求遇到异常事件报警给相应人员及时排查;
    2020-02-10
  • hasWhere
    安全之路任重道远
    2020-02-10
收起评论
显示
设置
留言
10
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部