在网络安全领域，了解基础设施内的各种数据类型对于有效的防御和管理至关重要。这些数据类型是识别、分析和响应潜在威胁的基础。让我们深入研究五种关键数据类型：流量数据、状态数据、事件数据、统计数据和组织数据，以了解它们在安全中的意义和应用。

原始流量数据是网络安全的命脉，代表了网络上正在发生的原始、未经过滤的事实。从历史上看，它源于对原始数据包的捕获，但范围已扩大到包括来自 DNS、HTTP、VPN 和ZTNA的流量日志和其他基于流量的日志。这种数据类型对于调查威胁、检测入侵和识别异常非常宝贵，因为它可以直接查看线路上的比特位与通信中实际发生的网络行为。

状态数据可以洞察网络及其设备的当前状态。它回答了诸如哪些设备处于活动状态或离线状态等关键问题，它利用 SNMP 和流式遥测（streaming telemetry）等技术来了解设备状态，并利用诸如ThousandEyes、Kentik 和 Catchpoint 等综合监控工具来了解网络状态。这些数据对于识别网络内的变化至关重要，无论这些变化是有意还是无意，都有助于基础设施的管理和安全。

当使用网络或安全工具分析流量以识别威胁和行为异常时，会生成事件数据。EDR、DLP、IDS/IPS 和 NDR 等工具在这里发挥着关键作用，它们可以从网络流量中解析出非常有价值的元数据。事件数据的挑战在于其数量；并非所有事件都同样重要，区分关键警报和噪音至关重要。目标是提取有意义的信息来回答网络行为的人物、内容、时间、地点和原因。

有关流量和设备的统计数据有助于了解网络中发生的特定行为的数量。它在安全方面特别有用，可以衡量某些行为的规模，例如尝试访问恶意域名的次数。这些数据可以将事件从略微异常提升为极其重要，为评估威胁提供定量基础。

组织数据为网络行为提供了重要的上下文，详细介绍了有关用户、设备、所属组、操作系统和与之关联的安全策略信息。它在定义什么是正常行为方面发挥着关键作用，有助于根据每个设备特定的风险概况和策略确定安全工作的优先级。

传统上，可能会参考组织数据作为安全分析的最后一步，主要是为了在识别问题后确定主机的所有权。然而，在分析过程中尽早集成这些数据可以显着增强安全分析师的能力。利用组织数据对流量和事件数据进行富化，分析师可以对网络有更细致的了解，从而有效增强保护网络的能力。这种对组织数据的主动使用不仅可以加快响应时间，还可以提高安全措施的准确性，确保资源集中在最需要的地方。

没有任何一个单平台可以有效地整合所有这些数据类型。因此使安全态势具备高鲁棒性的关键是选择一个多平台互补的生态系统，其中每个平台既可以单独提供能力，也可以与其他平台结合提供附加价值。这些平台之间的互操作性可实现更加一体化的安全效果，即通过增强共享数据和信息，减少数据富化后的响应时间。

总之，复杂的网络安全形势需要采用多方面的数据分析方法。通过了解和利用流量数据、状态数据、事件数据、统计数据和组织数据的独特优势，组织可以增强其安全评估能力，做出正确的决策来保护其基础设施。通过互补的安全工具生态系统集成这些数据类型，是应对不断变化的威胁形势、主动掌握安全态势、确保迅速响应的的最佳策略。

* 本文为晨雨编译，原文地址：https://www.securityweek.com/how-traffic-state-and-organizational-data-help-fortify-your-network/
图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。