iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 1
2
Security

學習網路安全監控的30天系列 第 1

NSM 01: 前言

自從第九屆IT邦幫忙鐵人賽結束後,一直計畫要學習新的技能,畢竟學海無涯,轉職成功為資安分析師,還要繼續練功升級,由於上次參賽文章內稍微介紹Security Onion,覺得是個不錯的工具,接下來想要安排時間學習相關技術,強化入侵偵測和藍隊(Blue Team)技能,希望能完整地學習「網路安全監控Network Security Monitoring(NSM)」,而不單單只是熟悉工具。最初在書店找到Richard Bejtlich寫的《實戰網路安全監控:入侵偵測與因應之道The Practice of Network Security Monitoring: Understanding Incident Detection and Response.》,這雖然是2013年出版的書,卻很完整地介紹網路安全監控理論與運作,很多章節內容現在讀來仍然很有用,當時還覺得封面很酷,好像在道場裡學功夫,用螳螂拳來打擊駭客。(後來發現作者本人真的有練功夫,Krav Maga 以色列近身格鬥術。)

https://ithelp.ithome.com.tw/upload/images/20181016/20084806V8rPcVMHRJ.jpg
*圖片截自網路

唯一美中不足的地方,就是書裡示範的工具是舊版Security Onion,許多網上搜尋到的中英文資源也仍然是舊版的資料尚未更新。新版的Security Onion介面有些不同,也增加了新功能,例如2018年開始新版已經和ELK/Elastic Stack整合,官網上說明2018年8月後將停止支援ELSA介面;最低硬體需求為滿足Elastic Stack執行已經提高;新版支援PCAP Replay 可以載入PCAP檔案重播等等。所以後來找到相關文章、PPT、影片等都要先確認是在講新版?還是舊版?內容是否依然適用?幸好作者的Blog有持續更新介紹新資訊,陸續也找到更新資料,在學習的過程中也接觸其他網路安全監控工具,適合不同環境需求,已經慢慢熟悉網路安全監控這塊領域。

這次的文章假設讀者已經對網路和資訊安全有基礎,熟識一些英文名詞,例如IPS/IDS、Firewall、SPAN等等,所以不一定會特別解釋,或另列中文。雖然自己也還在摸索,期望藉著鐵人賽30天的督促加強學習,整理筆記和資料與讀者分享,也藉此拋磚引玉,歡迎大家分享相關經驗和意見,或提供更好的作法。接下來讓我們用30天,一起認識網路安全監測Network Security Monitoring (NSM)吧!

附註:
《實戰網路安全監控:入侵偵測與因應之道The Practice of Network Security Monitoring: Understanding Incident Detection and Response.》作者Richard Bejtlich的 blog
https://taosecurity.blogspot.com/


下一篇
NSM 02: 網路安全監控概論之一
系列文
學習網路安全監控的30天30

尚未有邦友留言

立即登入留言