查看其它 2 个回答kermit的回答
个人认为,对于企业而言,威胁就是会影响企业正常业务开展的因素。由于企业中信息化程度越来越高,因此对应的信息安全的威胁就越来越多。从大的方面说,我觉得可以从两个方面界定威胁。一个是老板或者业务部门的意见,他们虽然大多数并不懂安全,但是他们能深刻得认识和感受阻碍业务发展的信息安全方面的威胁是什么。另一方面,就在于安全人员利用自身专业知识和外部情报,认清对于企业来说最大的威胁是什么。我理解你的问题应该是想问“如何在SIEM系统中通过日志等发现威胁?”。我认为应该是需要定义“威胁用例”。如果能认清企业主要的威胁是什么,那思路就很清晰。比如企业中数据泄漏是主要的威胁,那对应的用例应该就是某几台包含重要数据的服务器的日志中是否有异常的访问记录(如何判断某条日志是否代表异常访问记录,需要结合对于日志本身和实际环境的理解,比如某个服务器只能由GROUP1的用户才能访问,那如果出现了非GROUP1的用户的访问记录就是异常),或者出入该服务器的流量,或者访问的时间是否有异常等多个维度。一个威胁的检测往往可以设计出很多的威胁用例。同时,在实践中还需要对实现的规则经过测试和并在运行中不断调整和改进。