为了改善您的网络安全状况，请专注于数据

有效地融合、管理和使用企业数据是一项艰巨的任务。企业拥有大量的数据，但这些数据存在于各自为政的系统和应用程序中，需要高技能的数据科学家进行大量的手动操作。工程师和分析师从所有数据中提取价值。

数据准备是一项基本且必要的任务，但它使工程师无法将时间集中在高价值任务上，例如识别安全漏洞或讲故事，以改善组织的网络安全态势。

以整合的方式将所有安全数据整合在一起是关键，但说起来容易做起来难。企业安全数据结构平台可以提供帮助，但要取得成功，您需要了解要收集哪些数据以及从何处获取数据。

第一步-识别数据源并确保可以引入正确的信息-需要在组织可以在其安全数据成熟度之旅中取得进展之前采取。

在所有正确的地方寻找数据

安全数据结构方法有助于将原始数据转换为分析就绪的数据集，简化数据分析工作流程，实现数据质量和完整性，并最终促进更强大的安全态势。安全专业人员和团队可以创建实施安全数据结构的计划。

这一举措要求您:

1. 了解it需要正确的数据馈送

2. 评估您的数据状态

3. 确定整个业务范围内的数据源

4. 了解如何收集这些数据集

5. 了解如何组合、规范化和转换此数据，以获得更好的业务环境和洞察力

6. 在此层上构建报告并与利益相关者共享

安全团队面临的最大难题之一是确定需要哪些数据源才能全面了解其安全状况，以及这些数据源如何支持各种工作。例如持续控制监控或自动威胁搜寻。这场斗争的一部分是了解你正在处理的不同数据格式，以及如何组合、规范化和丰富所有数据，使其进入一个内聚状态。此过程可以快速洞察特定用例。

那么，你怎么知道你需要哪些数据呢？这取决于你的用例。确定最终指标将有助于驱动需要哪些数据集。您是否正在尝试收集威胁狩猎所需的数据？合规性审计？用于资产发现和清理？每个用例可能需要不同类型的数据来获得见解; 有些可能需要端点检测和响应 (EDR) 日志，而另一些则需要网络数据和流量。或用户和设备信息，以获得在任何给定时间发生的事情的全貌。

数据孤岛使事情复杂化。它们存在于多个层面: 在同一技术堆栈中的工具之间 (例如g.,组织安全中心中的每个工具都会产生唯一的数据)，并且在应该共享数据以在业务环境中获得更深入见解的组织之间。

在某些组织中，一个团队拥有所有企业数据并管理其所在的存储库，但并非总是如此。在某些情况下，安全团队必须去另一个部门或团队获取他们需要的数据。他们可能不得不说服其他团队，让他们能够访问它是重要和必要的-并且它将以安全和适当的方式使用。

你如何打破孤岛通常取决于你的组织; 对于一些人来说，自上而下的方法是有效的，而对于另一些人来说，自下而上的方法更有意义。这一切都取决于你能以多快的速度获得支持，以及谁和什么设定了你的组织的计划。

不管你采取什么方法，作为负责安全数据计划的人员或团队，您需要向其他数据所有者保证，您对数据所做的操作不会对任何计划产生任何负面影响他们正在努力。事实上，你可以让他们感到安慰的是，安全性和合规性这将来自对这些其他数据集的访问，可以帮助将安全性转变为真正的业务推动者。

许多人担心他们的工作和他们监督的数据的神圣性; 帮助他们了解你将如何处理他们的数据。要清楚，通过让你访问他们的数据，它不会损害他们的工作状态。如果有的话，它可以帮助他们的工作; 他们可以自由地专注于更多高价值的任务，这将使企业能够推进其安全之旅。

在某些组织中，首席安全官的角色可能是设定目标以及业务将如何转型，引导他们接触各种数据所有者和领导小组，以证明这一点 (自上而下)。在其他组织中，可能是产品所有者或工程师 (自下而上) 将这些资源一个接一个地引入中央平台。

一旦你找到了所需的数据源以及谁负责它们，并得到了他们的认同，下一步是弄清楚如何将数据放入您的安全数据结构平台。了解数据所有者的观点以及他们的团队可以在一致的基础上支持什么也很重要。一旦数据共享开始，它就不是一劳永逸的行动，而是一个持续的过程。

确保透明度以建立信任。保持你已经分解的数据孤岛不再重新建立，这需要你对你和你的团队对数据所做的事情提供信任和透明度。

最后，不要试图煮沸海洋。当您第一次开始确定所需的数据源并与数据所有者合作访问这些数据源时，以增量方式开始非常重要。如果不正确处理数据质量和完整性的基本组成部分，您就无法在安全数据成熟度旅程中取得进展。

迈向安全数据成熟度

组织收集和管理大量数据，但大多数组织仍未从这些数据中获得最大价值。在网络安全方面，这意味着您没有尽可能有效地使用您的数据来改善您的网络安全状况。这也意味着这是一个需要进一步深入研究的主题，你的人工智能建模和输出没有像他们应该的那样执行。结合，干净和完整的数据是在这两个领域取得成功的关键。