D7-02 8–10 分钟 重要程度:高

日志记录、监测、审计与自动化响应

Logging 和 monitoring 支持 Accountability。日志要集中、保护、保留、审查,并结合 SIEM、DLP、SOAR 和审计流程形成可行动的证据。

一、必须记住

  • 日志和监测共同形成审计踪迹,可追踪活动并支持问责。
  • 常见日志包括安全日志、系统日志、应用日志、防火墙日志和变更日志。
  • 日志应复制到中央系统并保护完整性,防止攻击者删除或篡改本地日志。
  • SIEM 收集、聚合、关联和分析来自多源的数据,并生成告警。
  • Clipping level 只在事件超过阈值时告警,用于减少普通噪声。
  • Egress monitoring 监测出站流量,DLP 用于阻止敏感数据外泄。
  • SOAR 自动编排和执行部分响应动作,但仍需要策略、审批和人工监督。

二、核心概念

日志保护

安全运营中日志本身也是敏感资产。最佳实践是集中收集、时间同步、只读或防篡改存储、限制访问、备份归档,并按保留策略在不再需要时销毁。

监测与告警

SIEM 通过关联引擎把 IDS、IPS、防火墙、端点、服务器和云服务日志转换为有意义的安全事件。Clipping level 可避免每次失败登录都告警,而是在短时间内达到阈值才触发。

审计与自动化

审计不只是看日志,也包括评估流程是否按策略执行。SOAR、AI、Threat intelligence 和 Threat hunting 可提升速度,但考试中仍要优先考虑治理、证据、授权和风险。

三、CISSP 判断规则

  • 问多源日志集中关联,选 SIEM。
  • 问超过阈值才告警,选 Clipping level。
  • 问出站数据外泄检测或阻止,选 Egress monitoring / DLP。
  • 问自动化响应编排,选 SOAR。
  • 问审计报告包含敏感发现,应限制分发并保护。

四、常见陷阱

  • 只收集日志不等于安全,必须保护、审查并对异常采取行动。
  • 集中日志副本不能替代保留策略和访问控制。
  • 自动化响应可能造成业务影响,高风险动作应有审批或人工确认。

五、英文关键字

Logging (日志记录) Monitoring (监测) Audit trail (审计踪迹) SIEM (安全信息与事件管理) Clipping level (剪裁级别 / 阈值告警) Egress monitoring DLP (数据防泄漏) SOAR (安全编排自动化与响应) Threat intelligence Threat hunting Audit report

小测验

1. 哪个系统最适合集中收集 IDS、防火墙和服务器日志并进行关联分析?

SIEM 的核心能力是多源日志收集、聚合、关联、分析和告警。

2. 系统只在 30 分钟内失败登录超过 5 次时告警,这属于?

Clipping level 通过阈值减少正常事件造成的噪声。

3. 组织想检测并阻止敏感文件通过邮件发往外部,应优先考虑?

DLP 尤其是网络 DLP 可扫描出站数据并阻止受限数据外泄。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成