如果一个组织不理解他们工具所提供的遥测，或者更糟的是，如果可见性存在差距，遥远的威胁可能会转变为即时事件。除了从特定来源收集数据外，组织还需要能够阅读、解释并对这些信息采取行动，以保持强大的安全态势。

        理解遥测技术，以及如何实现更好的可见性是“眼见为实:整体可见性的案例”的核心，但在我们深入研究数据之前，我们需要理解遥测技术是什么。

        广义上来说，遥测是指将数据从一个源无线测量和传输到另一个源，通常是一个中心源。这种测量和传输可以在内部或远程进行。

        在IT世界中，遥测技术经常用于测量系统或网络环境中的活动。例如，这种遥测可以是访问特定应用程序人的文本日志、系统特定部分的性能异常放缓、质量下降，甚至网络中的突然流量变化。

        遥测数据有多种类型，但大多数可以分为四类:日志、操作、指标和跟踪。这四个类别涵盖了特定的数据，从用户登录、CPU性能到带时间戳的文本记录，甚至是不寻常的用户行为或错误。

       如何测量具体的遥测数据取决于源和组织的需求，每个组织对于不同的遥测源都有不同的参数。了解应该测量什么以及如何测量，对于确保遥测技术的正确使用以及所分析的数据是正确的数据至关重要。错误测量是差距出现的地方，也是威胁无法被发现的地方。

        遥测技术不仅用于测量，而且用于行动。这些数据和可见性在响应事件时至关重要——从了解事件的起源到查看网络中的移动位置——并影响主动的网络安全决策，包括漏洞管理和安全环境升级或更改。

        可以使用遥测技术监视IT环境的许多部分，并且从整体上进行监视是迄今为止创建广泛可见性的最佳方法。

        对于强大的安全态势，建议对组织环境的以下七个领域进行监控:

• 端点

• IaaS

• SaaS

• 防火墙

• 网络

• 身份

• 风险

        然而，理解这七个部分是如何被监控的比识别它们要复杂得多。尽管监视每个源的具体方式因用例而异(例如，在较窄的时间范围内对特定应用程序的某些登录)，但都可以分为两类:可观察性和监视性。

        虽然这两个术语听起来是可以互换的，但它们有关键的区别。可观察性深入研究评估数据的领域。它只是一种基于特定数据评估状态的能力。这可以通过基于规则的系统、机器学习或人类来实现。

        监视使可观察性成为可能。它是所有来自给定来源的数据的集合。你监视，然后观察，然后采取行动。这两个目标一起工作，以创建IT环境的全貌并创建完整的可见性。

        如果您没有监控正确的来源以采取正确的行动，您就无法知道某个领域存在问题，如果您没有评估被监控的数据，您也可能会错过相同的问题。当从调查的角度来思考这个问题时，监测是谁和什么，可观察性是为什么。

        最好的遥测工具同时提供监视和可观察性，同时提供端到端的可见性，允许组织自定义监视和观察的内容，并开发促进其安全目标的策略。

        你无法保护你看不到的东西，这就是为什么遥测技术是安全架构的关键支柱。虽然遥测的每个方面都有好处和挑战——例如端点是安全环境的主要组成部分，但每个工具对端点的定义都不同——但应该注意的是，单一的遥测源永远不会足够，因为每个源都可能导致事故。

       拥有完整的可见性，不仅可以在事件发生时更好地检测和响应，还可以帮助组织看到自己的弱点所在，并加强应对未来威胁的姿态。

**参考来源：Arctic Wolf，胖头鱼编译，欢迎转载，转载请注明出处，非常感谢~~