无论是否有安全运营中心，无论您的网络是在本地、云端还是使用混合网络，您都需要确定哪些事件和指标与网络攻击相关。如今，组织面临着比以往更广泛、更频繁的网络威胁。这些威胁可能来自APT（高级持续威胁），网络战、通过僵尸程序和网络进行的混杂攻击，脚本小子（业余黑客），通过暗网的恶意软件即服务，甚至来自组织实体的内部攻击。从分布式拒绝服务攻击（DDoS）到加密劫持、从中间人攻击到鱼叉式网络钓鱼、从勒索软件到数据泄露，所有这些每天都在不断地对所有企业造成影响，不论什么规模和行业。尽管这一切呈现出压倒性地扑面而来的态势，但这却是完全正常的！

      然而，如果使用正确的工具并进行实践，那么就可以帮助我们更好地理解噪音。这就是网络安全分析可能有用的地方。早在几年前，安全分析就已经成为了一个流行词，但它现在依然和以前一样重要。

        网络安全数据分析究竟是什么呢？其实这很简单。

        安全分析并不是一种特定类型的工具或系统，而是一种主动思考网络安全的方式。它从众多来源分析网络数据，以制定与维护安全措施。这是为了汇总所有可能来源的数据，找到所有这些“树木”的日志和其他有记录的细节，并找到这些“树木”所归属的“森林”。当然，能够识别“森林”不仅可以更容易地扑灭由网络攻击导致的“森林火灾”，还可以防范于未然。

      以下是可用于网络安全分析实践的一些不同类型的数据源：

• 云资源

• 从端点获取的用户数据

• 从网络安全设备（例如防火墙，IPS和IDS）记录日志

• 网络流量及其模式

• 身份和访问管理日志

• 威胁情报

• 地理位置数据

• 通过WiFi、以太网和USB连接的移动设备和存储介质

• 防病毒应用程序

• 特定业务应用程序

      组织还可以部署一些与网络安全分析相关的工具。他们包括：

• DLP（数据丢失防护）工具

• 代码分析应用程序，用于查找软件和脚本中的漏洞

• 文件分析工具，以超越恶意软件检测的方式检索文件

• 用于防火墙、IDS、IPS、联网打印设备、服务器和端点的日志分析应用程序

• SOC（安全运营中心）专用的应用程序，以有利于它功能的方式组织数据

      正确地实施网络安全分析不仅可以改善网络的安全状况，还可以帮助组织满足合规要求。有许多行业对记录数据收集和活动监控都有特定要求，HIPAA和PCI-DSS只是其中的几个。

      它甚至可以帮助组织向利益相关者和管理层展示哪些安全措施和政策是有用的和值得投资的。

      只要网络数据得到妥善存储和维护、使用正确的工具和分析方法，就能够在数月甚至数年内查看网络威胁模式。通常，这有助于全面了解可能发生的网络情况。

      当AI有效地部署用于网络安全分析时，它可用于扫描整个IT环境以查找并识别异常。实施良好的人工智能可以进行大量的计算和识别工作，将这些繁杂的工作从安全分析师的肩膀上卸下来，这样他们就可以在人类思维更有效的领域里发挥更大的作用。人们的大脑可能厌倦了重复繁琐的工作，而人工智能则可以处理大量繁琐的数据，而不会精神疲劳。正确配置的高级计算机系统不会错过任何无聊的细节！

      组织可通过AI和监控系统实现机器学习，从随时间积累的数据和结果中进行学习。机器学习可以提供有监督和无监督的应用程序以满足组织的特定需求。监督机器学习可以分析结构化数据以获得清晰的算法和规则。无监督机器学习可以分析来自SIEM和一般扫描等来源的非结构化数据。

      事实上，部署良好的网络安全分析系统和实践可以对组织的SIEM进行增强和补充。正如Paul Reid写道：

      使用网络安全数据分析来增强SIEM的最明显的直接应用是识别新的数据和事件模式，从而制定更好的SIEM关联规则。网络威胁不断发展，威胁形势本身也在不断变化。组织不应该始终只使用一组SIEM关联规则，因为其中一些可能变得不相关或已经过时。组织的网络安全性将受益于调整SIEM已有的规则，以及根据组织从网络安全分析中所获取数据而创建的新规则——这些数据反映了网络攻击的变化。

      如果使用得当，合适的安全分析可以改善网络安全的各个方面，并帮助组织跟上网络攻击演变的步伐。