Security+ 学习笔记49 事件调查一、记录安全信息(Logging security information)二、安全信息和事件管理(Security information and event management)三、云审计和调查(Cloud audits and investigations)
一、记录安全信息(Logging security information)系统监控产生了大量的数据输出,网络安全分析人员在试图进行日志审查时,必须涉猎这些数据。幸运的是,监控技术为我们提供了自动处理这些工作的方法。日志文件来自各种不同的来源,这些数据来源中的每一个都包含可能对事件响应有用的信息:网络日志,特别是NetFlow数据,告诉我们网络上相互通信的系统以及它们交换的信息量。这对于识别参与安全事件的系统至关重要。同样,DNS日志提供了关于网络名称查询的信息,提供了关于哪些系统可能与外部系统
