网络空间安全管理体系认证证书 信任源于
事实上,安全操作中常见的两种场景是威胁风险规则编写和安全事件调查。大多数风险规则的编写是通过实
时计算引擎结合离线分析来实现的,而安全事件调查则是从大量数据中检查几条数据。随着数据量变得越来越大,
你会发现,当你检查另一个案例时,许多大亨会直接浏览那里的网页,这不是因为他们不专注,
而是因为日志查询太慢(有时一个日志超过40分钟都找不到,更不用说触发Presto的查询融合机制并直接终止任务了)。
有时,为了确保成功率,他们会逐日导出日志,将其扔进临时搭建的es中进行检查,很多次,
事件调查的时间都被困在这里。此时,根据我们的经验,我们通常使用es来维护热数据约7天。
如果找不到,我们可以使用hive/Presto来查询冷数据,但实际情况是,许多人可以编写SQL,
但他们在编写DSL时感到困惑。有时他们只能依靠操作手册来解决,这也会降低工作效率
影响事件响应的MTTR,并且指标会非常难看。
网络空间安全管理体系认证证书 源于责任
可以得出结论,高效的数据交互可以直接提高安全操作的效率,那么如何设计这一部分呢。
从个人实践经验来看,绝大多数案例都是由于研发和项目经理未能就SOP达成一致。在很多情况下,
PM可能会对RD说:我需要实现一个功能来筛选出有风险的组件,修复这些推送订单。
Rd直接实现了这个功能的开发,但PM没有明确说明我要解决什么问题。研发部通常认
为效率可以转化为自动化是理所当然的,自动化可以提高效率。这种观点在大多数情况下
都是正确的,但事实上,在一些需要MTTR并涉及大量数据分析的安全业务场景中,
自动化可能会适得其反。当PM提出需求时,必须与Rd同步。该需求用于解决安全问题,
并将一些相关指标告知Rd,以便Rd能够开发出符合要求的产品。研发部还应主动询问PM
需求是固定的还是一次性的(许多PM不会提高需求,导致研发部将许多一次性需求视为性需求),
这些问题将直接影响技术选择等问题。