本文介绍了流量可视化的背景和目的,强调其在决策中的作用。主要内容包括网络流量的抽样采集、集中收集与处理,以及使用开源方案如XFlow、SFlow、HSFlow进行流量监控。流量可视化的目的是发现网络异常,提升分析效率,并减少对信息安全人员经验的依赖。文章还探讨了不同网络设备的流量收集方法,并提出使用ELK堆栈或sflow-rt进行数据处理和展示。
背景介绍
我们通常会说想要防住威胁,首先就要看到威胁。这里面的看不只是用眼睛看,更重要的是要感知到威胁的存在。无论是以图形化展示,还是根据规则生成告警,这都是感知威胁的一种有效手段。在进行流量可视化或者威胁可视化系统建设的时候,我们需要考虑一个问题是要看见所有的流量,还是把焦点放在有价值的流量,或者潜在的威胁上。如果把所有的流量都以报表形式展现在电脑屏幕上,看起来会比较美观,但是在处理具体威胁的时候,可能会适得其反。
我们在进行流量可视化或者威胁可视化体系建设的时候,要围绕公司网络体系中的核心资产,重点体现最有可能包含攻击者的流量。比如对数据库进行访问的流量,的应用程序管理后台访问的流量,以及一些对系统平台进行管理的数据流量。眉毛胡子一把抓的结果会导致资源的大量浪费,这里面最宝贵的资源就是信息安全分析人员的时间和精力的资源。如果信息安全人员把大量的时间和精力都用在分析一些不太可能造成威胁的流量上,就有可能消磨信息安全人员的意志,从而降低信息安全人员防范网络威胁的意识。随着各个企业数字化转型的进行,大量的业务都从传统的纸质文档转换到了信息技术平台。当我们在监控这些内部或者外部的流量的时候,生成的数据是巨大的。很多时候我们信息安全人员需要使用大数据平台或者数据湖的方式来管理这些日常网络活动当中的流量数据,大数据平台或者siem平台,或者一些自己开发的脚本都能够有效地帮助我们分析这些网络流量,从中筛选出我们认为最有可能包含攻击者痕迹的流量。简单来说就是让计算机或者服务器帮助我们从数据的海洋当中筛选出少量有价值的几滴水,然后我们的信息安全人员利用自己的经验来判断这几滴水是否是来自内部或者外部的威胁。安全大数据平台的出现,不会替代信息安全人员同样新鲜,安全人员也不能够替代安全大数据平台。这两个角色各有各的优势,
最低0.47元/天 解锁文章
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
