12安全运营中心应该如何进行数据收集？

Posted 2023-03-09 请你吃溜溜糖

关于安全运营中心到底应该如何收集数据的问题，起初很多人认为应该收集尽可能多的全量数据，但也有人认为收集那么多数据占用很多资源，有些数据收集上来又没有什么用，主张需要什么数据就收集那些数据。在讨论安全运营中心应该如何进行数据收集这个问题之前，我们先看一下Gartner关于安全分析三要素的方法论模型，如下图所示安全分析三要素：应用场景、分析方法和数据源，三者缺一不可。

 

安全分析有两种思路，一种可以从数据源头出发，收集全量数据，然后依据数据，挖掘分析场景，寻找分析技术；也可以从应用场景出发，按应用场景收集数据，寻找分析技术。

从安全数据的内容来讲，数据类别包括三类，第一类是安全告警数据（IDS、WAF等），这部分属于高威胁、低可信数据；第二类是内容数据（主机、流量等），这部分属于低威胁、高可信数据；第三类是上下文数据（资产、威胁、漏洞等），这部分属于辅助数据。安全分析、数据类型这两点讲清楚了，回过头再来看如何进行数据收集，根本不需要争论到底是收集全量安全数据，还是需要什么数据再收集什么数据了，只要把握以下的策略方法就可以了。1、告警类数据本身就归安全职能所有，所以需要对其进行全量收集，有多少就收集多少，存储至少保证六个月。这原因主要是：1）满足安全合规要求；2）持续进行场景建模；3）方便攻击溯源与威胁猎捕。2、内容类数据大部分归网络或运维团队所有，应由其所有者存储全量数据。而且这部分数据类型和数量远比告警要多，安全团队没必要再单独存一份全量的数据，所以应该按安全运营需要从运维大数据中取。3、上下文数据权属比较复杂，有些可能属于运维团队（比如资产），有些属于安全团队（威胁情报、漏洞等），但这部分数据从安全分析来讲属于辅助数据，所以可以按安全分析的需要，以及安全运营的能力进行采集。