D6-06 7–9 分钟 重要程度:高
日志、SIEM 与持续监控
持续监控依赖日志、事件、告警和趋势分析;SIEM 的价值在于集中收集、关联、告警和报告,但仍需要调优、保留策略和响应流程。
一、必须记住
- 日志是问责、调查、趋势分析和审计证据的重要来源。
- SIEM 集中收集日志与事件,进行规范化、关联分析、告警和报告。
- 连续监控要覆盖技术过程和管理过程,不只看设备告警。
- 被动监测分析真实流量;Real User Monitoring 是被动监测的一种。
- 主动监测使用合成交易或伪造活动评估性能和可用性。
- 基于签名的监测常见于 IDS、IPS 和反恶意软件系统。
- 日志必须考虑时间同步、完整性、保留、访问控制和隐私。
二、核心概念
日志与 SIEM
单一系统日志只能说明局部事实。SIEM 把多个来源的日志集中起来,进行时间标准化、字段规范化和事件关联,帮助发现跨系统攻击链并生成报告。
网站监测
被动监测捕获真实用户流量并分析实际体验;RUM 会重组单个用户活动。主动监测通过合成交易模拟登录、下单或访问页面,主动评估性能和可用性。
连续改进
监控结果应进入响应、修复和风险管理流程。只产生告警而无人分流、调查和关闭,不会形成有效控制。
三、CISSP 判断规则
- 问“集中日志、关联分析和告警”,选 SIEM。
- 问“捕获真实用户流量”,选 Passive monitoring 或 RUM。
- 问“合成交易/伪造活动”,选 Active monitoring。
- 问“匹配已知攻击模式”,选 Signature-based monitoring。
- 问“日志可作为证据”,优先完整性、时间同步和访问控制。
四、常见陷阱
- SIEM 不是自动安全;规则、数据源、时间同步和响应流程同样重要。
- 日志保留越久不一定越好,必须平衡法规、隐私、成本和调查需求。
- 签名监测对已知模式有效,对未知或变形攻击较弱。
五、英文关键字
Log management SIEM (安全信息与事件管理) 定义:集中收集、关联、分析日志并生成告警。 Correlation Alerting Continuous monitoring (持续监控) 定义:持续收集事件、日志和控制状态,发现异常与控制漂移。 Passive monitoring Real User Monitoring (真实用户监控) 定义:被动分析真实用户活动和体验。 RUM Active monitoring Synthetic transaction (合成交易) 定义:主动模拟用户交易以测试性能、可用性或流程。 Signature-based monitoring IDS IPS
小测验
1. 组织要把防火墙、服务器和应用日志集中关联并产生告警,应部署或调优?
SIEM 的核心能力是集中收集、规范化、关联、告警和报告。
2. 监控工具捕获真实用户访问网站的流量并分析体验,属于?
被动监测分析真实流量;RUM 是被动监测的变体。
3. 通过定期模拟登录和交易来检查网站可用性,属于?
主动监测使用合成或伪造活动主动测试性能和可用性。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成