企業安全的本質就是發現，分析，進而解決安全問題。這里最重要的一步就在于發現安全事件，而安全事件來自于對現有數據的分析。企業可以分析的安全數據，很大程度上來自各類的日志文件。監控工具通過這些日志文件生成安全事件(傳入數據庫，轉換為結構化的數據)，安全軟件和安全分析師根據異常事件的告警，進行處理和進一步的響應。

[[147188]]

企業來說安全數據處理的應用主要有這幾個方向：

安全監控(Security Monitoring)
安全威脅情報(Threat Intelligence)
WAF調試(WAF Tuning)

安全監控(Security Monitoring)

安全監控分為個人主機監控和服務器監控。個人主機監控無非就是針對Mac或PC。這兩個系統生成的系統日志內容也相對容易處理。廠商的日志Agent讀取單機的系統日志，通過網絡連接發送至指定的數據倉庫(有部署在用戶內網/DMZ的，有部署在云端的)，然后通過預先設定的規則進行分析和處理，決定是否忽略或者告警。最近廠商還在DNS上下文章，比如OpenDNS只是對單機DNS查詢時候加以控制，并記錄用戶的訪問行為。個人主機的信息相對敏感，關乎員工本身的個人隱私和公司的商業機密，而且數據量相對穩定，一般會在企業內部進行處理，管理員有點類似網吧里網管這個意思。

單機Agent監控的廠商比較常見的有：

Confer：一個相對輕量化的單機日志agent，資源消耗很少，管理端的規則比較豐富，管理端的數據中心可以選擇放在云端。

AMPFire：這個公司先被SourceFire吃掉，之后SourceFire又被Cisco吃掉，特點是整合了沙箱功能，方便安全分析人員了解惡意程序的行為。

Bit9/CarbonBlack：老牌的單機日志agent，不評價。

服務器監控的內容就復雜的多，不同的服務端軟件或框架會生成各種不同的日志文件，而且高負載的服務器會產生巨量的日志文件。對企業來說，如何從海量的數據中挑出和攻擊相關的那幾行日志，是個很大的挑戰。常見的做法是通過正則表達式來過濾日志，把可疑的日志內容縮減到一個可以人工分析的范圍之內，然后交給安全運營中心(SOC)決定如何響應。很多企業不具備部署和操作SOC的能力，而且迫于法律，合規方面的壓力，不得不選擇其他企業來管理自己的安全事件。這種代理其他企業安全管理的公司稱作管理安全提供商(MSSP)。MSSP的強項在于可以關聯其客戶所面對的威脅，比如公司A在某時刻面對某種特定的攻擊，分析師根據威脅數據創建了新的防火墻規則，同樣的防火墻規則可以推送給被此MSSP管理的其他B,C,D …公司，從而起到提前防護的作用。

MSSP通常會在客戶端部署數據倉庫，整合從用戶數據中心收集來的安全事件，通過VPN批量傳回控制端供分析師查看。如果發現了安全問題，分析師通過直接操作防火墻規則的方式來阻斷攻擊。MSSP也會定期推送威脅特征庫的更新至防火墻。

MSSP常見的廠商有

Dell SecureWorks
IBM ISS
Verizon
Solutionary
…
(細節請見 Gartner Magic Quadrant MSSP)

未來的趨勢

隨著企業的架構向云端移動，企業的SOC也有向云端移動的趨勢，SOC的部署成本大大降低，安全事件的整合速度也大大加快。傳統的MSSP廠商開始從用戶的云平臺收集安全事件，新的MSSP也開始專注云平臺的安全監控，安全管理，比如Elastica(RSA上每年都抽獎杜卡迪摩托的那一家)。

傳統的CDN廠商(比如最大那家)，從提供WAF開始，逐漸加入監控，合規，咨詢等模塊，一步一步向MSSP的方向轉化，為客戶提供一站式的應用安全解決方案。