網(wǎng)絡(luò)安全監(jiān)控指南一、概述

網(wǎng)絡(luò)安全監(jiān)控是保障信息資產(chǎn)安全的重要手段，旨在實(shí)時(shí)發(fā)現(xiàn)、分析和響應(yīng)潛在威脅。本指南旨在提供一套系統(tǒng)化的監(jiān)控方法，幫助組織建立有效的網(wǎng)絡(luò)安全防護(hù)體系。通過明確監(jiān)控目標(biāo)、選擇合適工具、制定響應(yīng)策略，可以有效降低安全風(fēng)險(xiǎn)，確保業(yè)務(wù)連續(xù)性。

二、監(jiān)控目標(biāo)與范圍

（一）監(jiān)控目標(biāo)

1.識別異常行為：檢測系統(tǒng)登錄、數(shù)據(jù)訪問、網(wǎng)絡(luò)流量中的異常模式。

2.防范惡意攻擊：及時(shí)發(fā)現(xiàn)并阻止病毒、木馬、勒索軟件等威脅。

3.保障合規(guī)性：滿足行業(yè)或組織內(nèi)部的安全管理要求。

4.優(yōu)化資源分配：根據(jù)監(jiān)控?cái)?shù)據(jù)調(diào)整安全策略，提高防護(hù)效率。

（二）監(jiān)控范圍

1.網(wǎng)絡(luò)設(shè)備：路由器、交換機(jī)、防火墻的狀態(tài)及日志。

2.主機(jī)系統(tǒng)：服務(wù)器、終端的運(yùn)行狀態(tài)、安全事件記錄。

3.數(shù)據(jù)庫：訪問日志、數(shù)據(jù)修改記錄、備份狀態(tài)。

4.應(yīng)用系統(tǒng)：用戶行為、交易記錄、API調(diào)用情況。

5.云資源（如適用）：虛擬機(jī)、存儲、容器等的安全監(jiān)控。

三、監(jiān)控工具與技術(shù)

（一）網(wǎng)絡(luò)流量監(jiān)控

1.工具選擇：

-專用設(shè)備（如：思科NetFlow分析器、華為AR系列流量分析）。

-軟件平臺（如：Zabbix、Prometheus+Grafana）。

2.關(guān)鍵指標(biāo)：

-流量峰值/谷值（示例：正常辦公時(shí)段流量為100-200Mbps，突發(fā)時(shí)超過500Mbps需預(yù)警）。

-協(xié)議分布（HTTP/HTTPS占比＞70%，需關(guān)注加密流量異常）。

-源/目的IP行為（高頻訪問未知IP需核查）。

（二）終端安全監(jiān)控

1.部署方式：

-代理客戶端（如：Sophos、賽門鐵克）。

-嵌入式監(jiān)控（如：WindowsDefender內(nèi)置日志）。

2.監(jiān)控要點(diǎn)：

-登錄嘗試（失敗次數(shù)＞5次/分鐘需鎖屏）。

-文件變更（禁止未授權(quán)修改核心文件）。

-漏洞掃描（定期執(zhí)行Nessus或OpenVAS掃描，高危漏洞需24小時(shí)內(nèi)修復(fù)）。

（三）日志管理

1.集中存儲：

-使用SIEM系統(tǒng)（如：Splunk、ELKStack）。

-日志保留周期≥6個(gè)月（根據(jù)監(jiān)管要求調(diào)整）。

2.關(guān)鍵日志類型：

-防火墻日志（記錄阻斷的惡意IP）。

-主機(jī)審計(jì)日志（用戶權(quán)限變更）。

-應(yīng)用日志（支付接口異常調(diào)用）。

四、實(shí)施步驟

（一）準(zhǔn)備工作

1.梳理資產(chǎn)清單：記錄IP、端口、服務(wù)類型。

2.定義監(jiān)控策略：明確告警閾值（如：端口掃描＞100次/小時(shí)觸發(fā)告警）。

3.配置監(jiān)控工具：錄入白名單，排除誤報(bào)。

（二）部署監(jiān)控體系

1.分階段實(shí)施：

-第一步：核心網(wǎng)絡(luò)設(shè)備接入（防火墻、路由器）。

-第二步：擴(kuò)展至主機(jī)系統(tǒng)（服務(wù)器+終端）。

-第三步：聯(lián)動(dòng)云平臺（如使用AWS或阿里云監(jiān)控服務(wù)）。

2.自動(dòng)化配置：

-使用Ansible批量部署監(jiān)控腳本。

-配置自動(dòng)告警（通過釘釘/企業(yè)微信推送）。

（三）持續(xù)優(yōu)化

1.定期復(fù)盤：每月分析告警事件，調(diào)整監(jiān)控規(guī)則。

2.模擬測試：通過紅藍(lán)對抗驗(yàn)證監(jiān)控有效性。

3.技術(shù)升級：每年評估工具性能，替換落后方案。

五、應(yīng)急響應(yīng)

（一）告警處理流程

1.接收告警：監(jiān)控平臺自動(dòng)分派任務(wù)至專人。

2.初步核查：30分鐘內(nèi)驗(yàn)證事件真實(shí)性（如：確認(rèn)是否為誤報(bào)）。

3.閉環(huán)處置：記錄處置結(jié)果，更新監(jiān)控規(guī)則。

（二）協(xié)作機(jī)制

1.跨部門聯(lián)動(dòng)：

-IT負(fù)責(zé)技術(shù)排查。

-安全部門制定長期整改方案。

2.外部合作（如需）：

-聯(lián)系設(shè)備廠商獲取漏洞補(bǔ)丁。

-咨詢第三方安全顧問。

六、最佳實(shí)踐

（一）資源投入建議

-基礎(chǔ)防護(hù)預(yù)算占IT支出的5%-10%。

-每年至少投入1名專職安全分析師。

（二）文檔規(guī)范

-建立監(jiān)控指標(biāo)詞典（如：什么是“異常登錄頻率”）。

-編制工具操作手冊（包含Splunk基本查詢語句）。

（三）培訓(xùn)要求

-每季度組織安全意識培訓(xùn)（覆蓋新員工）。

-每半年開展應(yīng)急演練（模擬釣魚郵件攻擊）。

一、概述

網(wǎng)絡(luò)安全監(jiān)控是保障信息資產(chǎn)安全的重要手段，旨在實(shí)時(shí)發(fā)現(xiàn)、分析和響應(yīng)潛在威脅。本指南旨在提供一套系統(tǒng)化的監(jiān)控方法，幫助組織建立有效的網(wǎng)絡(luò)安全防護(hù)體系。通過明確監(jiān)控目標(biāo)、選擇合適工具、制定響應(yīng)策略，可以有效降低安全風(fēng)險(xiǎn)，確保業(yè)務(wù)連續(xù)性。

二、監(jiān)控目標(biāo)與范圍

（一）監(jiān)控目標(biāo)

1.識別異常行為：檢測系統(tǒng)登錄、數(shù)據(jù)訪問、網(wǎng)絡(luò)流量中的異常模式。

-具體方法：通過用戶行為分析（UBA）系統(tǒng)，對比歷史行為基線，識別登錄地點(diǎn)異常（如：用戶在非工作時(shí)間從國外IP登錄）、訪問權(quán)限異常（如：普通員工訪問財(cái)務(wù)數(shù)據(jù)庫）。

-設(shè)定閾值：例如，同一賬戶5分鐘內(nèi)連續(xù)失敗登錄3次，觸發(fā)初步告警；10次則鎖定賬戶并通知管理員。

2.防范惡意攻擊：及時(shí)發(fā)現(xiàn)并阻止病毒、木馬、勒索軟件等威脅。

-具體方法：部署終端檢測與響應(yīng)（EDR）系統(tǒng)，實(shí)時(shí)采集進(jìn)程行為、內(nèi)存快照、文件哈希值。利用機(jī)器學(xué)習(xí)模型識別未知威脅（如：沙箱模擬執(zhí)行可疑文件）。

-關(guān)鍵指標(biāo)：監(jiān)控每小時(shí)的文件創(chuàng)建/修改數(shù)量（正常值＜50個(gè)/小時(shí)，超過則排查病毒活動(dòng)）。

3.保障合規(guī)性：滿足行業(yè)或組織內(nèi)部的安全管理要求。

-具體方法：根據(jù)ISO27001標(biāo)準(zhǔn)，定期審計(jì)日志留存（操作日志≥6個(gè)月，安全事件日志≥12個(gè)月）。使用合規(guī)性管理工具（如：Qualys）自動(dòng)掃描配置漏洞。

4.優(yōu)化資源分配：根據(jù)監(jiān)控?cái)?shù)據(jù)調(diào)整安全策略，提高防護(hù)效率。

-具體方法：通過SIEM（安全信息與事件管理）平臺分析告警趨勢，例如發(fā)現(xiàn)某月勒索軟件攻擊嘗試增加20%，則需加強(qiáng)郵件過濾和補(bǔ)丁管理。

（二）監(jiān)控范圍

1.網(wǎng)絡(luò)設(shè)備：路由器、交換機(jī)、防火墻的狀態(tài)及日志。

-具體內(nèi)容：監(jiān)控設(shè)備CPU/內(nèi)存使用率（閾值＞85%需擴(kuò)容），解析Syslog日志中的VPN隧道斷開事件（關(guān)聯(lián)業(yè)務(wù)中斷）。

2.主機(jī)系統(tǒng)：服務(wù)器、終端的運(yùn)行狀態(tài)、安全事件記錄。

-具體內(nèi)容：使用OpenSSH監(jiān)控工具（如：OpenNMS）檢查SSH登錄日志，識別暴力破解（如：連續(xù)10次密碼錯(cuò)誤）。磁盤I/O監(jiān)控（如：數(shù)據(jù)庫服務(wù)器I/O峰值＞500MB/s可能存在DDoS攻擊）。

3.數(shù)據(jù)庫：訪問日志、數(shù)據(jù)修改記錄、備份狀態(tài)。

-具體內(nèi)容：配置MySQL/PostgreSQL的審計(jì)插件，記錄SQL語句（如：禁止執(zhí)行`DROPTABLE`命令）。每日檢查備份文件完整性（校驗(yàn)MD5哈希值）。

4.應(yīng)用系統(tǒng)：用戶行為、交易記錄、API調(diào)用情況。

-具體內(nèi)容：在Java應(yīng)用中埋點(diǎn)監(jiān)控API調(diào)用頻率（如：某接口每分鐘＞1000次可能被刷機(jī)）。使用WAF（Web應(yīng)用防火墻）分析CC攻擊（如：用戶代理重復(fù)請求）。

5.云資源（如適用）：虛擬機(jī)、存儲、容器等的安全監(jiān)控。

-具體內(nèi)容：AWSCloudTrail記錄API操作（如：刪除S3桶需立即告警）。AzureMonitor監(jiān)控容器服務(wù)中的Kubernetes事件（如：Pod異常重啟）。

三、監(jiān)控工具與技術(shù)

（一）網(wǎng)絡(luò)流量監(jiān)控

1.工具選擇：

-專用設(shè)備（如：思科NetFlow分析器、華為AR系列流量分析）。

-操作步驟：

(1)在防火墻配置流量導(dǎo)出（如：每5分鐘生成NetFlow記錄）。

(2)在分析器導(dǎo)入設(shè)備信息（填寫社區(qū)ID、設(shè)備IP）。

(3)創(chuàng)建儀表盤展示地域流量分布（如：華東區(qū)流量占比＞60%）。

-軟件平臺（如：Zabbix、Prometheus+Grafana）。

-操作步驟：

(1)部署Prometheusagent到網(wǎng)關(guān)服務(wù)器。

(2)編寫Grafana模板（包含`rate(http_requests_total[5m])`指標(biāo)）。

(3)設(shè)置告警規(guī)則（如：HTTP5xx錯(cuò)誤＞5%觸發(fā)短信通知）。

2.關(guān)鍵指標(biāo)：

-流量峰值/谷值（示例：正常辦公時(shí)段流量為100-200Mbps，突發(fā)時(shí)超過500Mbps需預(yù)警）。

-具體操作：在流量分析平臺設(shè)置移動(dòng)平均線（MA），當(dāng)流量偏離MA2個(gè)標(biāo)準(zhǔn)差時(shí)告警。

-協(xié)議分布（HTTP/HTTPS占比＞70%，需關(guān)注加密流量異常）。

-具體操作：使用Wireshark抓包統(tǒng)計(jì)協(xié)議占比，對TLS流量啟用證書透明度（CT）監(jiān)控。

-源/目的IP行為（高頻訪問未知IP需核查）。

-具體操作：創(chuàng)建黑白名單規(guī)則（如：允許IP段`/24`，禁止`/8`）。

（二）終端安全監(jiān)控

1.部署方式：

-代理客戶端（如：Sophos、賽門鐵克）。

-操作步驟：

(1)在組策略中推送安裝包（設(shè)置靜默模式）。

(2)在管理控制臺檢查客戶端狀態(tài)（如：SophosCentral查看上次通信時(shí)間）。

(3)配置數(shù)據(jù)丟失防護(hù)（DLP）策略（禁止復(fù)制Word文檔到U盤）。

-嵌入式監(jiān)控（如：WindowsDefender內(nèi)置日志）。

-操作步驟：

(1)啟用Windows安全日志（EventViewer→WindowsLogs）。

(2)創(chuàng)建PowerShell腳本自動(dòng)收集日志（導(dǎo)出為CSV格式）。

(3)使用PowerBI可視化分析登錄失敗次數(shù)（按部門篩選）。

2.監(jiān)控要點(diǎn)：

-登錄嘗試（失敗次數(shù)＞5次/分鐘需鎖屏）。

-具體操作：在ActiveDirectory中配置賬戶鎖定策略（如：失敗5次鎖定30分鐘）。

-文件變更（禁止未授權(quán)修改核心文件）。

-具體操作：使用文件完整性監(jiān)控工具（如：Tripwire），對`/etc/passwd`設(shè)置監(jiān)控。

-漏洞掃描（定期執(zhí)行Nessus或OpenVAS掃描，高危漏洞需24小時(shí)內(nèi)修復(fù)）。

-具體操作：

(1)編輯掃描計(jì)劃（選擇“高?！奔墑e，掃描頻率每周1次）。

(2)創(chuàng)建自動(dòng)化補(bǔ)丁任務(wù)（如：Windows系統(tǒng)使用SCCM推送MS17-010補(bǔ)丁）。

(3)生成漏洞報(bào)告（使用Markdown格式導(dǎo)出，包含CVE編號和影響等級）。

（三）日志管理

1.集中存儲：

-使用SIEM系統(tǒng)（如：Splunk、ELKStack）。

-操作步驟：

(1)在Kibana創(chuàng)建索引模板（如：`@timestamp`字段設(shè)為時(shí)間戳）。

(2)配置Beats（如：Winlogbeat采集Windows日志）。

(3)設(shè)置索引生命周期管理（如：7天熱存儲，90天歸檔）。

-日志保留周期≥6個(gè)月（根據(jù)監(jiān)管要求調(diào)整）。

-具體操作：在Splunk中創(chuàng)建`security_index`并設(shè)置TTL（TimeToLive）為180天。

2.關(guān)鍵日志類型：

-防火墻日志（記錄阻斷的惡意IP）。

-具體操作：在Fortinet管理界面按周導(dǎo)出日志（篩選`action=block`事件）。

-主機(jī)審計(jì)日志（用戶權(quán)限變更）。

-具體操作：使用Sysmon工具收集日志（導(dǎo)出至SIEM平臺關(guān)聯(lián)進(jìn)程創(chuàng)建事件）。

-應(yīng)用日志（支付接口異常調(diào)用）。

-具體操作：在Java應(yīng)用中配置Logback，記錄異常時(shí)添加`%d{yyyy-MM-ddHH:mm:ss}`時(shí)間戳。

四、實(shí)施步驟

（一）準(zhǔn)備工作

1.梳理資產(chǎn)清單：記錄IP、端口、服務(wù)類型。

-具體清單示例：

|設(shè)備類型|IP范圍|端口|服務(wù)|

|--------------|----------------|----------|----------|

|防火墻||443|HTTPS|

|服務(wù)器|00|3306|MySQL|

|終端|/16|3389|RDP|

2.定義監(jiān)控策略：明確告警閾值（如：端口掃描＞100次/小時(shí)觸發(fā)告警）。

-具體操作：在Snort規(guī)則中添加以下條目：

```

alerttcpanyany->$HOME_NET80(msg:"PortScanDetected";content:"GET/";threshold:count100,interval60)

```

3.配置監(jiān)控工具：錄入白名單，排除誤報(bào)。

-具體操作：

(1)在WAF中添加白名單規(guī)則（如：允許`0`訪問API）。

(2)在Nessus中設(shè)置掃描排除項(xiàng)（排除`/24`網(wǎng)段）。

（二）部署監(jiān)控體系

1.分階段實(shí)施：

-第一步：核心網(wǎng)絡(luò)設(shè)備接入（防火墻、路由器）。

-具體步驟：

(1)在防火墻啟用Syslog輸出（IP地址為SIEM服務(wù)器IP）。

(2)使用NetFlow工具繪制流量拓?fù)鋱D（如：繪制VPN連接鏈路）。

-第二步：擴(kuò)展至主機(jī)系統(tǒng)（服務(wù)器+終端）。

-具體步驟：

(1)在Windows服務(wù)器安裝OpenSSHagent。

(2)使用Ansible批量部署Winlogbeat（如：

```yaml

-name:DeployWinlogbeat

win_copy:

src:/path/to/winlogbeat.zip

dest:C:\ProgramFiles\winlogbeat

mode:'0755'

```

)

-第三步：聯(lián)動(dòng)云平臺（如使用AWS或阿里云監(jiān)控服務(wù)）。

-具體步驟：

(1)在AWSCloudWatch配置指標(biāo)訂閱（如：將EC2CPU利用率推送到釘釘群）。

(2)在阿里云安全中心開通API監(jiān)控（如：記錄RDS數(shù)據(jù)庫登錄失敗次數(shù)）。

2.自動(dòng)化配置：

-使用Ansible批量部署監(jiān)控腳本。

-具體操作：

```yaml

-name:InstallZabbixagent

apt:

name:zabbix-agent

state:present

update_cache:yes

```

-配置自動(dòng)告警（通過釘釘/企業(yè)微信推送）。

-具體操作：

(1)在Zabbix中創(chuàng)建Webhook（URL為釘釘機(jī)器人API）。

(2)編寫告警模板（如：

```json

{

"msg_type":"text",

"content":{

"text":"防火墻端口80被掃描，源IP:"

}

}

```

)

（三）持續(xù)優(yōu)化

1.定期復(fù)盤：每月分析告警事件，調(diào)整監(jiān)控規(guī)則。

-具體方法：

(1)使用Excel匯總SIEM告警（篩選“誤報(bào)”類別）。

(2)修改規(guī)則：如將HTTP400錯(cuò)誤從高優(yōu)先級調(diào)整為中優(yōu)先級。

2.模擬測試：通過紅藍(lán)對抗驗(yàn)證監(jiān)控有效性。

-具體操作：

(1)紅隊(duì)執(zhí)行釣魚郵件攻擊（觀察是否觸發(fā)郵件安全告警）。

(2)藍(lán)隊(duì)嘗試暴力破解FTP（檢查是否觸發(fā)防火墻阻斷事件）。

3.技術(shù)升級：每年評估工具性能，替換落后方案。

-具體流程：

(1)對比工具性能（如：SplunkvsElasticStack在100萬條日志處理速度）。

(2)更新硬件：如將5年舊防火墻更換為支持IPv6的新型號（如：SophosSG900）。

五、應(yīng)急響應(yīng)

（一）告警處理流程

1.接收告警：監(jiān)控平臺自動(dòng)分派任務(wù)至專人。

-具體操作：在Splunk中配置告警作業(yè)（如：SQL注入告警→分派給安全研究員）。

2.初步核查：30分鐘內(nèi)驗(yàn)證事件真實(shí)性（如：確認(rèn)是否為誤報(bào)）。

-具體方法：

(1)檢查告警關(guān)聯(lián)日志（如：SQL注入日志是否包含`DROPTABLE`）。

(2)使用溯源工具（如：Wireshark分析流量包）。

3.閉環(huán)處置：記錄處置結(jié)果，更新監(jiān)控規(guī)則。

-具體操作：

(1)在Jira創(chuàng)建問題單（如：CC攻擊已封禁IP段）。

(2)修改規(guī)則：在WAF中添加新惡意域名（如：``被篡改）。

（二）協(xié)作機(jī)制

1.跨部門聯(lián)動(dòng)：

-IT負(fù)責(zé)技術(shù)排查（如：檢查服務(wù)器日志）。

-具體步驟：

(1)使用`journalctl-xe`查看系統(tǒng)日志。

(2)檢查`/var/log/auth.log`中SSH暴力破解記錄。

-安全部門制定長期整改方案（如：加強(qiáng)密碼策略）。

-具體步驟：

(1)在ActiveDirectory中設(shè)置復(fù)雜度要求（如：必須包含大小寫字母和數(shù)字）。

(2)編制文檔：更新《終端安全管理制度》。

2.外部合作（如需）：

-聯(lián)系設(shè)備廠商獲取漏洞補(bǔ)?。ㄈ纾篊isco提供VPN漏洞修復(fù)包）。

-具體操作：

(1)在CiscoSupport網(wǎng)站下載漏洞ID`CVE-YYYY-ZZZZ`的補(bǔ)丁。

(2)使用Puppet自動(dòng)化部署補(bǔ)丁（如：

```

classcisco_vpn{

package{'cisco-vpn-k9':ensure=>present}

}

```

)

-咨詢第三方安全顧問（如：滲透測試服務(wù)）。

-具體流程：

(1)選擇服務(wù)商（如：選擇具備ISO27001認(rèn)證的廠商）。

(2)簽署協(xié)議：明確測試范圍（如：禁止測試生產(chǎn)環(huán)境）。

六、最佳實(shí)踐

（一）資源投入建議

-基礎(chǔ)防護(hù)預(yù)算占IT支出的5%-10%。

-具體計(jì)算示例：如公司IT總預(yù)算為1000萬元，則網(wǎng)絡(luò)安全投入建議50-100萬元。

-每年至少投入1名專職安全分析師（如：具備CISSP認(rèn)證）。

-具體職責(zé)：負(fù)責(zé)SIEM告警分析、漏洞管理、應(yīng)急響應(yīng)。

（二）文檔規(guī)范

-建立監(jiān)控指標(biāo)詞典（如：什么是“異常登錄頻率”）。

-具體內(nèi)容：

```

異常登錄頻率：指用戶在1小時(shí)內(nèi)從不同地理位置（經(jīng)緯度差＞5°）登錄系統(tǒng)的次數(shù)。

```

-編制工具操作手冊（包含Splunk基本查詢語句）。

-具體手冊示例：

```

Splunk基礎(chǔ)查詢示例

|inputlookupaccess.log

|wherestatuscode=404

|statscountbyurl,clientip

|sort-count

```

（三）培訓(xùn)要求

-每季度組織安全意識培訓(xùn)（覆蓋新員工）。

-具體內(nèi)容：

(1)釣魚郵件識別（發(fā)送模擬郵件，統(tǒng)計(jì)點(diǎn)擊率）。

(2)密碼安全（演示彩虹表破解案例）。

-每半年開展應(yīng)急演練（模擬釣魚郵件攻擊）。

-具體流程：

(1)紅隊(duì)發(fā)送釣魚郵件（標(biāo)題：“附件中有您的合同”）。

(2)藍(lán)隊(duì)記錄點(diǎn)擊率（如：10%員工點(diǎn)擊附件）。

(3)后續(xù)培訓(xùn)：對點(diǎn)擊員工進(jìn)行安全加固（如：重置密碼）。

一、概述

網(wǎng)絡(luò)安全監(jiān)控是保障信息資產(chǎn)安全的重要手段，旨在實(shí)時(shí)發(fā)現(xiàn)、分析和響應(yīng)潛在威脅。本指南旨在提供一套系統(tǒng)化的監(jiān)控方法，幫助組織建立有效的網(wǎng)絡(luò)安全防護(hù)體系。通過明確監(jiān)控目標(biāo)、選擇合適工具、制定響應(yīng)策略，可以有效降低安全風(fēng)險(xiǎn)，確保業(yè)務(wù)連續(xù)性。

二、監(jiān)控目標(biāo)與范圍

（一）監(jiān)控目標(biāo)

1.識別異常行為：檢測系統(tǒng)登錄、數(shù)據(jù)訪問、網(wǎng)絡(luò)流量中的異常模式。

2.防范惡意攻擊：及時(shí)發(fā)現(xiàn)并阻止病毒、木馬、勒索軟件等威脅。

3.保障合規(guī)性：滿足行業(yè)或組織內(nèi)部的安全管理要求。

4.優(yōu)化資源分配：根據(jù)監(jiān)控?cái)?shù)據(jù)調(diào)整安全策略，提高防護(hù)效率。

（二）監(jiān)控范圍

1.網(wǎng)絡(luò)設(shè)備：路由器、交換機(jī)、防火墻的狀態(tài)及日志。

2.主機(jī)系統(tǒng)：服務(wù)器、終端的運(yùn)行狀態(tài)、安全事件記錄。

3.數(shù)據(jù)庫：訪問日志、數(shù)據(jù)修改記錄、備份狀態(tài)。

4.應(yīng)用系統(tǒng)：用戶行為、交易記錄、API調(diào)用情況。

5.云資源（如適用）：虛擬機(jī)、存儲、容器等的安全監(jiān)控。

三、監(jiān)控工具與技術(shù)

（一）網(wǎng)絡(luò)流量監(jiān)控

1.工具選擇：

-專用設(shè)備（如：思科NetFlow分析器、華為AR系列流量分析）。

-軟件平臺（如：Zabbix、Prometheus+Grafana）。

2.關(guān)鍵指標(biāo)：

-流量峰值/谷值（示例：正常辦公時(shí)段流量為100-200Mbps，突發(fā)時(shí)超過500Mbps需預(yù)警）。

-協(xié)議分布（HTTP/HTTPS占比＞70%，需關(guān)注加密流量異常）。

-源/目的IP行為（高頻訪問未知IP需核查）。

（二）終端安全監(jiān)控

1.部署方式：

-代理客戶端（如：Sophos、賽門鐵克）。

-嵌入式監(jiān)控（如：WindowsDefender內(nèi)置日志）。

2.監(jiān)控要點(diǎn)：

-登錄嘗試（失敗次數(shù)＞5次/分鐘需鎖屏）。

-文件變更（禁止未授權(quán)修改核心文件）。

-漏洞掃描（定期執(zhí)行Nessus或OpenVAS掃描，高危漏洞需24小時(shí)內(nèi)修復(fù)）。

（三）日志管理

1.集中存儲：

-使用SIEM系統(tǒng)（如：Splunk、ELKStack）。

-日志保留周期≥6個(gè)月（根據(jù)監(jiān)管要求調(diào)整）。

2.關(guān)鍵日志類型：

-防火墻日志（記錄阻斷的惡意IP）。

-主機(jī)審計(jì)日志（用戶權(quán)限變更）。

-應(yīng)用日志（支付接口異常調(diào)用）。

四、實(shí)施步驟

（一）準(zhǔn)備工作

1.梳理資產(chǎn)清單：記錄IP、端口、服務(wù)類型。

2.定義監(jiān)控策略：明確告警閾值（如：端口掃描＞100次/小時(shí)觸發(fā)告警）。

3.配置監(jiān)控工具：錄入白名單，排除誤報(bào)。

（二）部署監(jiān)控體系

1.分階段實(shí)施：

-第一步：核心網(wǎng)絡(luò)設(shè)備接入（防火墻、路由器）。

-第二步：擴(kuò)展至主機(jī)系統(tǒng)（服務(wù)器+終端）。

-第三步：聯(lián)動(dòng)云平臺（如使用AWS或阿里云監(jiān)控服務(wù)）。

2.自動(dòng)化配置：

-使用Ansible批量部署監(jiān)控腳本。

-配置自動(dòng)告警（通過釘釘/企業(yè)微信推送）。

（三）持續(xù)優(yōu)化

1.定期復(fù)盤：每月分析告警事件，調(diào)整監(jiān)控規(guī)則。

2.模擬測試：通過紅藍(lán)對抗驗(yàn)證監(jiān)控有效性。

3.技術(shù)升級：每年評估工具性能，替換落后方案。

五、應(yīng)急響應(yīng)

（一）告警處理流程

1.接收告警：監(jiān)控平臺自動(dòng)分派任務(wù)至專人。

2.初步核查：30分鐘內(nèi)驗(yàn)證事件真實(shí)性（如：確認(rèn)是否為誤報(bào)）。

3.閉環(huán)處置：記錄處置結(jié)果，更新監(jiān)控規(guī)則。

（二）協(xié)作機(jī)制

1.跨部門聯(lián)動(dòng)：

-IT負(fù)責(zé)技術(shù)排查。

-安全部門制定長期整改方案。

2.外部合作（如需）：

-聯(lián)系設(shè)備廠商獲取漏洞補(bǔ)丁。

-咨詢第三方安全顧問。

六、最佳實(shí)踐

（一）資源投入建議

-基礎(chǔ)防護(hù)預(yù)算占IT支出的5%-10%。

-每年至少投入1名專職安全分析師。

（二）文檔規(guī)范

-建立監(jiān)控指標(biāo)詞典（如：什么是“異常登錄頻率”）。

-編制工具操作手冊（包含Splunk基本查詢語句）。

（三）培訓(xùn)要求

-每季度組織安全意識培訓(xùn)（覆蓋新員工）。

-每半年開展應(yīng)急演練（模擬釣魚郵件攻擊）。

一、概述

網(wǎng)絡(luò)安全監(jiān)控是保障信息資產(chǎn)安全的重要手段，旨在實(shí)時(shí)發(fā)現(xiàn)、分析和響應(yīng)潛在威脅。本指南旨在提供一套系統(tǒng)化的監(jiān)控方法，幫助組織建立有效的網(wǎng)絡(luò)安全防護(hù)體系。通過明確監(jiān)控目標(biāo)、選擇合適工具、制定響應(yīng)策略，可以有效降低安全風(fēng)險(xiǎn)，確保業(yè)務(wù)連續(xù)性。

二、監(jiān)控目標(biāo)與范圍

（一）監(jiān)控目標(biāo)

1.識別異常行為：檢測系統(tǒng)登錄、數(shù)據(jù)訪問、網(wǎng)絡(luò)流量中的異常模式。

-具體方法：通過用戶行為分析（UBA）系統(tǒng)，對比歷史行為基線，識別登錄地點(diǎn)異常（如：用戶在非工作時(shí)間從國外IP登錄）、訪問權(quán)限異常（如：普通員工訪問財(cái)務(wù)數(shù)據(jù)庫）。

-設(shè)定閾值：例如，同一賬戶5分鐘內(nèi)連續(xù)失敗登錄3次，觸發(fā)初步告警；10次則鎖定賬戶并通知管理員。

2.防范惡意攻擊：及時(shí)發(fā)現(xiàn)并阻止病毒、木馬、勒索軟件等威脅。

-具體方法：部署終端檢測與響應(yīng)（EDR）系統(tǒng)，實(shí)時(shí)采集進(jìn)程行為、內(nèi)存快照、文件哈希值。利用機(jī)器學(xué)習(xí)模型識別未知威脅（如：沙箱模擬執(zhí)行可疑文件）。

-關(guān)鍵指標(biāo)：監(jiān)控每小時(shí)的文件創(chuàng)建/修改數(shù)量（正常值＜50個(gè)/小時(shí)，超過則排查病毒活動(dòng)）。

3.保障合規(guī)性：滿足行業(yè)或組織內(nèi)部的安全管理要求。

-具體方法：根據(jù)ISO27001標(biāo)準(zhǔn)，定期審計(jì)日志留存（操作日志≥6個(gè)月，安全事件日志≥12個(gè)月）。使用合規(guī)性管理工具（如：Qualys）自動(dòng)掃描配置漏洞。

4.優(yōu)化資源分配：根據(jù)監(jiān)控?cái)?shù)據(jù)調(diào)整安全策略，提高防護(hù)效率。

-具體方法：通過SIEM（安全信息與事件管理）平臺分析告警趨勢，例如發(fā)現(xiàn)某月勒索軟件攻擊嘗試增加20%，則需加強(qiáng)郵件過濾和補(bǔ)丁管理。

（二）監(jiān)控范圍

1.網(wǎng)絡(luò)設(shè)備：路由器、交換機(jī)、防火墻的狀態(tài)及日志。

-具體內(nèi)容：監(jiān)控設(shè)備CPU/內(nèi)存使用率（閾值＞85%需擴(kuò)容），解析Syslog日志中的VPN隧道斷開事件（關(guān)聯(lián)業(yè)務(wù)中斷）。

2.主機(jī)系統(tǒng)：服務(wù)器、終端的運(yùn)行狀態(tài)、安全事件記錄。

-具體內(nèi)容：使用OpenSSH監(jiān)控工具（如：OpenNMS）檢查SSH登錄日志，識別暴力破解（如：連續(xù)10次密碼錯(cuò)誤）。磁盤I/O監(jiān)控（如：數(shù)據(jù)庫服務(wù)器I/O峰值＞500MB/s可能存在DDoS攻擊）。

3.數(shù)據(jù)庫：訪問日志、數(shù)據(jù)修改記錄、備份狀態(tài)。

-具體內(nèi)容：配置MySQL/PostgreSQL的審計(jì)插件，記錄SQL語句（如：禁止執(zhí)行`DROPTABLE`命令）。每日檢查備份文件完整性（校驗(yàn)MD5哈希值）。

4.應(yīng)用系統(tǒng)：用戶行為、交易記錄、API調(diào)用情況。

-具體內(nèi)容：在Java應(yīng)用中埋點(diǎn)監(jiān)控API調(diào)用頻率（如：某接口每分鐘＞1000次可能被刷機(jī)）。使用WAF（Web應(yīng)用防火墻）分析CC攻擊（如：用戶代理重復(fù)請求）。

5.云資源（如適用）：虛擬機(jī)、存儲、容器等的安全監(jiān)控。

-具體內(nèi)容：AWSCloudTrail記錄API操作（如：刪除S3桶需立即告警）。AzureMonitor監(jiān)控容器服務(wù)中的Kubernetes事件（如：Pod異常重啟）。

三、監(jiān)控工具與技術(shù)

（一）網(wǎng)絡(luò)流量監(jiān)控

1.工具選擇：

-專用設(shè)備（如：思科NetFlow分析器、華為AR系列流量分析）。

-操作步驟：

(1)在防火墻配置流量導(dǎo)出（如：每5分鐘生成NetFlow記錄）。

(2)在分析器導(dǎo)入設(shè)備信息（填寫社區(qū)ID、設(shè)備IP）。

(3)創(chuàng)建儀表盤展示地域流量分布（如：華東區(qū)流量占比＞60%）。

-軟件平臺（如：Zabbix、Prometheus+Grafana）。

-操作步驟：

(1)部署Prometheusagent到網(wǎng)關(guān)服務(wù)器。

(2)編寫Grafana模板（包含`rate(http_requests_total[5m])`指標(biāo)）。

(3)設(shè)置告警規(guī)則（如：HTTP5xx錯(cuò)誤＞5%觸發(fā)短信通知）。

2.關(guān)鍵指標(biāo)：

-流量峰值/谷值（示例：正常辦公時(shí)段流量為100-200Mbps，突發(fā)時(shí)超過500Mbps需預(yù)警）。

-具體操作：在流量分析平臺設(shè)置移動(dòng)平均線（MA），當(dāng)流量偏離MA2個(gè)標(biāo)準(zhǔn)差時(shí)告警。

-協(xié)議分布（HTTP/HTTPS占比＞70%，需關(guān)注加密流量異常）。

-具體操作：使用Wireshark抓包統(tǒng)計(jì)協(xié)議占比，對TLS流量啟用證書透明度（CT）監(jiān)控。

-源/目的IP行為（高頻訪問未知IP需核查）。

-具體操作：創(chuàng)建黑白名單規(guī)則（如：允許IP段`/24`，禁止`/8`）。

（二）終端安全監(jiān)控

1.部署方式：

-代理客戶端（如：Sophos、賽門鐵克）。

-操作步驟：

(1)在組策略中推送安裝包（設(shè)置靜默模式）。

(2)在管理控制臺檢查客戶端狀態(tài)（如：SophosCentral查看上次通信時(shí)間）。

(3)配置數(shù)據(jù)丟失防護(hù)（DLP）策略（禁止復(fù)制Word文檔到U盤）。

-嵌入式監(jiān)控（如：WindowsDefender內(nèi)置日志）。

-操作步驟：

(1)啟用Windows安全日志（EventViewer→WindowsLogs）。

(2)創(chuàng)建PowerShell腳本自動(dòng)收集日志（導(dǎo)出為CSV格式）。

(3)使用PowerBI可視化分析登錄失敗次數(shù)（按部門篩選）。

2.監(jiān)控要點(diǎn)：

-登錄嘗試（失敗次數(shù)＞5次/分鐘需鎖屏）。

-具體操作：在ActiveDirectory中配置賬戶鎖定策略（如：失敗5次鎖定30分鐘）。

-文件變更（禁止未授權(quán)修改核心文件）。

-具體操作：使用文件完整性監(jiān)控工具（如：Tripwire），對`/etc/passwd`設(shè)置監(jiān)控。

-漏洞掃描（定期執(zhí)行Nessus或OpenVAS掃描，高危漏洞需24小時(shí)內(nèi)修復(fù)）。

-具體操作：

(1)編輯掃描計(jì)劃（選擇“高?！奔墑e，掃描頻率每周1次）。

(2)創(chuàng)建自動(dòng)化補(bǔ)丁任務(wù)（如：Windows系統(tǒng)使用SCCM推送MS17-010補(bǔ)?。?/p>

(3)生成漏洞報(bào)告（使用Markdown格式導(dǎo)出，包含CVE編號和影響等級）。

（三）日志管理

1.集中存儲：

-使用SIEM系統(tǒng)（如：Splunk、ELKStack）。

-操作步驟：

(1)在Kibana創(chuàng)建索引模板（如：`@timestamp`字段設(shè)為時(shí)間戳）。

(2)配置Beats（如：Winlogbeat采集Windows日志）。

(3)設(shè)置索引生命周期管理（如：7天熱存儲，90天歸檔）。

-日志保留周期≥6個(gè)月（根據(jù)監(jiān)管要求調(diào)整）。

-具體操作：在Splunk中創(chuàng)建`security_index`并設(shè)置TTL（TimeToLive）為180天。

2.關(guān)鍵日志類型：

-防火墻日志（記錄阻斷的惡意IP）。

-具體操作：在Fortinet管理界面按周導(dǎo)出日志（篩選`action=block`事件）。

-主機(jī)審計(jì)日志（用戶權(quán)限變更）。

-具體操作：使用Sysmon工具收集日志（導(dǎo)出至SIEM平臺關(guān)聯(lián)進(jìn)程創(chuàng)建事件）。

-應(yīng)用日志（支付接口異常調(diào)用）。

-具體操作：在Java應(yīng)用中配置Logback，記錄異常時(shí)添加`%d{yyyy-MM-ddHH:mm:ss}`時(shí)間戳。

四、實(shí)施步驟

（一）準(zhǔn)備工作

1.梳理資產(chǎn)清單：記錄IP、端口、服務(wù)類型。

-具體清單示例：

|設(shè)備類型|IP范圍|端口|服務(wù)|

|--------------|----------------|----------|----------|

|防火墻||443|HTTPS|

|服務(wù)器|00|3306|MySQL|

|終端|/16|3389|RDP|

2.定義監(jiān)控策略：明確告警閾值（如：端口掃描＞100次/小時(shí)觸發(fā)告警）。

-具體操作：在Snort規(guī)則中添加以下條目：

```

alerttcpanyany->$HOME_NET80(msg:"PortScanDetected";content:"GET/";threshold:count100,interval60)

```

3.配置監(jiān)控工具：錄入白名單，排除誤報(bào)。

-具體操作：

(1)在WAF中添加白名單規(guī)則（如：允許`0`訪問API）。

(2)在Nessus中設(shè)置掃描排除項(xiàng)（排除`/24`網(wǎng)段）。

（二）部署監(jiān)控體系

1.分階段實(shí)施：

-第一步：核心網(wǎng)絡(luò)設(shè)備接入（防火墻、路由器）。

-具體步驟：

(1)在防火墻啟用Syslog輸出（IP地址為SIEM服務(wù)器IP）。

(2)使用NetFlow工具繪制流量拓?fù)鋱D（如：繪制VPN連接鏈路）。

-第二步：擴(kuò)展至主機(jī)系統(tǒng)（服務(wù)器+終端）。

-具體步驟：

(1)在Windows服務(wù)器安裝OpenSSHagent。

(2)使用Ansible批量部署Winlogbeat（如：

```yaml

-name:DeployWinlogbeat

win_copy:

src:/path/to/winlogbeat.zip

dest:C:\ProgramFiles\winlogbeat

mode:'0755'

```

)

-第三步：聯(lián)動(dòng)云平臺（如使用AWS或阿里云監(jiān)控服務(wù)）。

-具體步驟：

(1)在AWSCloudWatch配置指標(biāo)訂閱（如：將EC2CPU利用率推送到釘釘群）。

(2)在阿里云安全中心開通API監(jiān)控（如：記錄RDS數(shù)據(jù)庫登錄失敗次數(shù)）。

2.自動(dòng)化配置：

-使用Ansible批量部署監(jiān)控腳本。

-具體操作：

```yaml

-name:InstallZabbixagent

apt:

name:zabbix-agent

state:present

update_cache:yes

```

-配置自動(dòng)告警（通過釘釘/企業(yè)微信推送）。

-具體操作：

(1)在Zabbix中創(chuàng)建Webhook（URL為釘釘機(jī)器人API）。

(2)編寫告警模板（如：

```json

{

"msg_type":"text",

"content":{

"text":"防火墻端口80被掃描，源IP:"

}

}

```

)

（三）持續(xù)優(yōu)化

1.定期復(fù)盤：每月分析告警事件，調(diào)整監(jiān)控規(guī)則。

-具體方法：

(1)使用Excel匯總SIEM告警（篩選“誤報(bào)”類別）。

(2)修改規(guī)則：如將HTTP400錯(cuò)誤從高優(yōu)先級調(diào)整為中優(yōu)先級。

2.模擬測試：通過紅藍(lán)對抗驗(yàn)證監(jiān)控有效性。

-具體操作：

(1)紅隊(duì)執(zhí)行釣魚郵件攻擊（觀察是否觸發(fā)郵件安全告警）。

(2)藍(lán)隊(duì)嘗試暴力破解FTP（檢查是否觸發(fā)防火墻阻斷事件）。

3.