D7-02 8–10 分钟 重要程度:高
日志记录、监测、审计与自动化响应
Logging 和 monitoring 支持 Accountability。日志要集中、保护、保留、审查,并结合 SIEM、DLP、SOAR 和审计流程形成可行动的证据。
一、必须记住
- 日志和监测共同形成审计踪迹,可追踪活动并支持问责。
- 常见日志包括安全日志、系统日志、应用日志、防火墙日志和变更日志。
- 日志应复制到中央系统并保护完整性,防止攻击者删除或篡改本地日志。
- SIEM 收集、聚合、关联和分析来自多源的数据,并生成告警。
- Clipping level 只在事件超过阈值时告警,用于减少普通噪声。
- Egress monitoring 监测出站流量,DLP 用于阻止敏感数据外泄。
- SOAR 自动编排和执行部分响应动作,但仍需要策略、审批和人工监督。
二、核心概念
日志保护
安全运营中日志本身也是敏感资产。最佳实践是集中收集、时间同步、只读或防篡改存储、限制访问、备份归档,并按保留策略在不再需要时销毁。
监测与告警
SIEM 通过关联引擎把 IDS、IPS、防火墙、端点、服务器和云服务日志转换为有意义的安全事件。Clipping level 可避免每次失败登录都告警,而是在短时间内达到阈值才触发。
审计与自动化
审计不只是看日志,也包括评估流程是否按策略执行。SOAR、AI、Threat intelligence 和 Threat hunting 可提升速度,但考试中仍要优先考虑治理、证据、授权和风险。
三、CISSP 判断规则
- 问多源日志集中关联,选 SIEM。
- 问超过阈值才告警,选 Clipping level。
- 问出站数据外泄检测或阻止,选 Egress monitoring / DLP。
- 问自动化响应编排,选 SOAR。
- 问审计报告包含敏感发现,应限制分发并保护。
四、常见陷阱
- 只收集日志不等于安全,必须保护、审查并对异常采取行动。
- 集中日志副本不能替代保留策略和访问控制。
- 自动化响应可能造成业务影响,高风险动作应有审批或人工确认。
五、英文关键字
Logging (日志记录) 定义:记录系统、应用和安全事件以支持问责、调查和审计。 Monitoring (监测) 定义:观察系统、网络或流程状态以发现异常。 Audit trail (审计踪迹) 定义:可追踪活动、用户和时间的记录链。 SIEM (安全信息与事件管理) 定义:集中收集、关联、分析日志并生成告警。 Clipping level (剪裁级别 / 阈值告警) 定义:事件达到阈值后才告警以降低噪声。 Egress monitoring DLP (数据防泄漏) 定义:识别、监测或阻止敏感数据外泄。 SOAR (安全编排自动化与响应) 定义:自动编排和执行部分安全响应动作。 Threat intelligence Threat hunting Audit report
小测验
1. 哪个系统最适合集中收集 IDS、防火墙和服务器日志并进行关联分析?
SIEM 的核心能力是多源日志收集、聚合、关联、分析和告警。
2. 系统只在 30 分钟内失败登录超过 5 次时告警,这属于?
Clipping level 通过阈值减少正常事件造成的噪声。
3. 组织想检测并阻止敏感文件通过邮件发往外部,应优先考虑?
DLP 尤其是网络 DLP 可扫描出站数据并阻止受限数据外泄。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成