在這篇文章中以幫助網絡安全分析師了解網絡安全架構的組成部分，從如何使用端點信息來增強網絡態勢感知開始。端點收集了大量對態勢感知有價值的信息，但這些信息往往沒有得到充分利用。

如果不了解資產正在進行的活動，就無法檢測到危害。網絡安全分析師可以在兩個地方之一查看這些活動，或者有時兩者兼而有之——直接在設備上以及在進出設備的通信中(即在網絡上)。威脅檢測的第一步是了解可以在設備上看到哪些活動，并了解如何檢測設備以提供這種可見性。

端點的價值

端點不僅僅是一個閑置在角落里的斷開連接的黑匣子。端點通常是有權參與預定義活動的計算平臺，例如處理能力、訪問資源或與其他端點通信。所有這些端點的存在都是為了向組織提供價值，但要確保這一價值，需要驗證它們的行為是否符合組織的預期。有效的態勢感知通過定位超出其權限范圍的端點來執行策略，并為運營商提供可疑和良性端點行為的整體圖景。這種意識支持決策并幫助組織降低風險。

操作系統通過生成日志并將其存儲在本地或將其發送到中央日志存儲庫來監控本地端點。許多組織通過額外的監控來補充此日志記錄，在端點上安裝客戶端以檢查處于靜止狀態、內存中活動狀態或正在傳輸的數據。這些客戶端可以測試數據中的惡意代碼或確保數據處于已知狀態。還可以觀察在活動內存中運行的進程，并驗證是否以適當的特權級別運行并參與了預期的行為。一些客戶走得更遠，限制被認為不適當或具有威脅性的行為，例如訪問禁止內容或不安全地使用系統調用。這些額外的監控功能獲得的可見性是有代價的。監視進程占用內存和處理器周期。一些端點態勢感知工具充當應用程序和操作系統之間的“墊片”，盡管這些墊片可能會在正常操作中引入延遲和帶寬限制。

在某些配置中，其中許多解決方案會生成大量日志數據，通常通過網絡將其發送到中央收集器。歸檔這些日志所需的存儲量可能會迅速增加，尤其是在從數千或數萬個端點收集時，并且此活動占用的網絡帶寬會增加大量網絡開銷并使低帶寬連接飽和，端點可見性的某些方面可以在網絡級別實現，允許態勢感知收集完全忽略端點提供的重復數據，或者用來自另一個數據集的信息證實一個數據集中的觀察結果。

對端點態勢感知的常見反對意見

三件事往往會阻止企業充分利用其端點作為網絡態勢感知工具。

首先，也是最明顯的，大多數企業都有很多端點：傳統工作站和服務器;移動設備，例如手機、平板電腦和筆記本電腦;以及聯網的非傳統設備，例如醫療和科學設備、銷售點系統、條形碼掃描儀，甚至燈泡。配置它們以使態勢感知相關信息可用于分析的復雜性似乎是不可能的。幸運的是，大多數組織現在都有強大的程序來定義企業中所有機器應該如何配置的基線策略，以及用于執行這些策略的成熟工具。還要考慮到，即使是不完善的端點可見性也為網絡安全防御者提供了重要價值。盡管看起來令人生畏，但實現端點可見性的技術問題可能比想象的要容易得多。

有效端點監測的另一個常見障礙是哲學上的。許多防御者對端點數據感到不舒服，因為控制端點的攻擊者可能能夠篡改它。這種擔憂是一種合理的風險，但有一些方法可以管理它。管理篡改端點的可能性的最有效方法之一是配置應用程序日志記錄以將日志消息導出到中央服務器。對于企業服務器，在所有日志消息創建后立即導出它們可能是合適的，但對于其他端點(例如工作站)來說通常是不切實際的，因為工作站數量更多，并且可能并不總是與企業有良好的連接。在這種情況下，要管理網絡使用情況，應考慮在創建某些關鍵消息后立即導出日志，然后則需要定期導出優先級較低的消息(例如，每四個小時或當端點連接回企業網絡時)。最后，請記住，即使是被泄露的日志也具有態勢感知價值，因為它們可以揭示攻擊者希望隱藏的內容，戰術、技術和程序。

在許多企業中，端點監控的最大障礙不是技術，而是組織。端點管理通常獨立于網絡管理進行管理，并且可以進一步細分為對工作站、服務器、云與內部部署等的管理。真正全面的網絡態勢感知需要組織各部門的協作。建立這些橋梁可能是一項投資，但回報不僅僅是端點可見性，而是一種更全面的網絡安全監控和響應方法。

分階段的方法：從你所在的地方開始

正如我們所說，大多數組織都有大量的端點需要管理和監控，但不需要監控所有端點。可能希望從監控關鍵的本地服務器基礎架構開始，然后將從中學到的東西帶到基于云的服務器上，同時與工作站支持一起開發用于檢測本地、云和移動端的策略- 用戶環境。增量收益將帶來增量價值和重要的經驗教訓。

分析什么數據

當開始計劃將端點數據用于網絡態勢感知時，需要回答一些基本問題，例如

• 組織關心什么數據?
• 組織將如何使其可用于分析?
• 組織以后怎么改變主意?

端點有很多數據。后續部分討論網絡態勢感知分析時，將討論如何識別重要數據。目前，只需說以下類型的數據可能是最重要的數據(大致按此順序)：

• 無法在其他任何地方獲得的數據
• 將該數據與其他數據相關聯的數據
• 證實你已經擁有的數據

我們顯然對端點優勢最感興趣，我們可以看到在其他任何地方都看不到的東西。因此，首先考慮僅在端點上可用的事件的數據(和元數據)是有意義的。示例包括有關進程創建或端點防火墻阻止的網絡連接嘗試的信息。雖然這些數據很有用，但當可以將其與其他來源的數據融合時，就會變得非常有用。出于這個原因，第二種最重要的端點數據是可用于將端點數據與其他數據集相關聯的信息。例如，網絡連接檢查可以發現網絡連接包含惡意軟件，端點數據可以發現主機上打開了哪些進程。有了進程列表和進程打開的網絡連接(包括連接的時間戳和目標信息)，就可以確定哪個進程下載了惡意軟件。

最后，雖然收集重復網絡數據的端點數據似乎是浪費精力，但有時在兩個不同的有利位置獲得信息支持的推斷可能很有價值。這種推論有助于分析師建立對他們結論的信心，并排除(或排除)任何一個傳感器可能產生誤報的可能性。

在哪里分析端點數據

一個相關的問題是在哪里存儲這些數據。選擇是

• 在端點
• 在中心位置
• 介于兩者之間的東西

通常，將數據從端點移動到中央收集器可以實現更輕松地將數據與來自其他觀察域和數據集的信息融合在一起。然而，端點是一個嘈雜的數據源，因此將所有內容發送回中心位置可能需要大量的工程工作。

一種方法是對端點本身進行分析。這種方法有兩個主要缺點。首先是現在在一臺機器上分析數據，根據定義，我們正在評估妥協的可能性，因此必須相應地調整對我們結果的信心。第二個考慮因素，不存在端點來進行安全分析影響可用性，端點的存在是為了做企業的生意，安全分析不應對可用性產生負面影響。

還有數據保留的問題。同樣，在端點上存儲大量歷史數據會影響最終用戶的服務可用性;如果想保留一段時間，則可能必須將其進行備份轉移。

端點上的分析和存儲以及將其全部移動到中央位置之間的一個可能折衷方案是建立中間收集點，這些收集點靠近(從網絡角度)收集數據的端點。這些中間節點可以執行某些類型的分析，并且可以更長時間地存儲數據，因為收集和分析數據是其存在的主要目的和價值。端點數據架構的一種特別有效的方法是使用這些收集點來運行管理分析，以確定哪些數據可以丟棄以及哪些數據值得保留。

當討論網絡態勢感知工程時，當決定集中收集數據時，大多數工程考慮因素與網絡數據的考慮因素相同，以后將更深入地討論這些問題。現在，將只提及這個數據編排問題中與端點數據特別相關的幾個方面：

• 用于將數據發送到中心位置的策略將取決于端點的網絡連接，并且與端點的連接是高度可變的。他們將擁有多少帶寬?他們什么時候會擁有它?是否需要采取額外措施來保護傳輸中的數據?由于所有這些考慮因素都會影響最佳策略，并且由于它們在端點之間都存在很大差異，因此可能需要處理關于端點數據的新近度或維度的不同保證。
• 網絡檢查數據收集通常針對少量相當大容量的數據流進行優化。端點數據收集針對大量相對低容量的數據流進行了優化。最適合一個人的架構可能不適合另一個人。然而，中間收集器可以提供幫助的另一種方法是簡化這個問題，因為來自收集器的聚合端點數據看起來更像來自網絡監視器的數據流，并且更適合相同的工程方法。
• 端點為企業工作，回程端點數據不應過度干擾可用性。通過端點監控，記住安全性的存在只是為了讓任務更有可能成功。
• 接下來，將轉向網絡網絡態勢感知工程，討論網絡可見性，為什么除了端點可見性之外還需要它，以及何時在網絡級別實施端點可見性的某些方面可能很有價值。
• 網絡檢查數據收集通常針對少量相當大容量的數據流進行優化。端點數據收集針對大量相對低容量的數據流進行了優化。最適合一個人的架構可能不適合另一個人。然而，中間收集器可以提供幫助的另一種方法是簡化這個問題，因為來自收集器的聚合端點數據看起來更像來自網絡監視器的數據流，并且更適合相同的工程方法。
• 端點為企業工作，回程端點數據不應過度干擾可用性。通過端點監控，記住安全性的存在只是為了讓任務更有可能成功。

接下來，將轉向網絡網絡態勢感知工程，討論網絡可見性，為什么除了端點可見性之外還需要它，以及何時在網絡級別實施端點可見性的某些方面可能很有價值。