4.2 指定数据采集计划
定义威胁
量化风险
识别数据源
提炼有价值数据
4.3 主动式采集
4.3.1 通过SNMP采集数据
4.3.2 通过telnet采集数据
4.3.3 通过ssh采集数据
4.3.4 通过wmi采集数据
4.3.5 通过多种文件传输协议采集数据
4.3.6 利用jdbc/odbc采集数据库信息
4.3.7 通过代理和插件采集数据
代理:运行在传感器中,用来收集和发送数据到服务器的一段脚本,主要负责从各安全设备、安全工具的插件中采集相关信息,并将采集到的各类信息统一格式后传给服务器。
插件:是一种遵循一定规范的应用程序接口编写出来的程序,它只运行在程序规定的系统平台下,而不能脱离指定的平台单独运行。
4.3.7 通过漏洞和端口扫描采集数据
4.3.8 通过“蜜罐“和“蜜网”采集数据
4.4 被动采集
不需要发送或者修改一个数据帧就能获取流量
4.4.1 通过有线和无线采集数据
4.4.2 通过集线器和交换机采集数据
4.4.3 通过syslog采集数据
4.4.4 通过snmp trap采集数据
4.4.5 通过netflow/ipifix/sflow采集流数据
4.4.6 通过web service/mq采集数据
4.4.7 通过dpi/dfi采集和检测数据