如何构建安全监控平台（穷人也能玩安全）

关于安全监控平台如何建立？

对于企业安全管理者是个比较头疼的问题，那么咱们逐个分析？

首先咱们是选择是商业/开源

海量的告警信息有人看吗？会有自动化处理吗？

如何下降误报率？如何精确匹配异常行为？

监控的范围以及层次，以核心资产为中心进行保护，明确现有环境的边界，尽可能将边界全覆盖

1、网络层

数据源:出口流量镜像

网络IDS 起到了眼睛的做用，绝大多数××× 能够经过编辑网络IDS的规则即可以发现，好比SQLMAP， AWVS等等。

国内诸如镜像流量分析的威胁感知系统也有不少家，就不一一举例。

2、日志的存储及展现

数据源:出口流量镜像
将外部访问的HTTP/HTTPS数据从网络流量中提取出来，以便后续使用。

能够创建一个大型日志分析平台，将日志范式化之后集中展示，使用报表查询的方式精肯定位相关所需的行为日志。

三 访问日志(HTTP/HTTPS)&WEB 服务器日志
数据源:出口流量镜像
工具:E.L.K

四 主机层

数据源:主机IDS-OSSEC

主机的syslog 文件变动记录、端口状态等

五 网络边界

防火墙技术

waf

nmap与域名变动信息同步

利用nmap对公网地址段扫描实时获取边界对外发布的端口信息，持续监控域名资产。

六 审计设备

数据库审计

基于实例的数据库 关系型数据库

。。。。。

以上就是穷人玩安全监控，基础台子已经搭好，那剩下的就是开发工做量了

见下图：