自從第九屆IT邦幫忙鐵人賽結束後，一直計畫要學習新的技能，畢竟學海無涯，轉職成功為資安分析師，還要繼續練功升級，由於上次參賽文章內稍微介紹Security Onion，覺得是個不錯的工具，接下來想要安排時間學習相關技術，強化入侵偵測和藍隊(Blue Team)技能，希望能完整地學習「網路安全監控Network Security Monitoring(NSM)」，而不單單只是熟悉工具。最初在書店找到Richard Bejtlich寫的《實戰網路安全監控:入侵偵測與因應之道The Practice of Network Security Monitoring: Understanding Incident Detection and Response.》，這雖然是2013年出版的書，卻很完整地介紹網路安全監控理論與運作，很多章節內容現在讀來仍然很有用，當時還覺得封面很酷，好像在道場裡學功夫，用螳螂拳來打擊駭客。(後來發現作者本人真的有練功夫，Krav Maga 以色列近身格鬥術。)

*圖片截自網路

唯一美中不足的地方，就是書裡示範的工具是舊版Security Onion，許多網上搜尋到的中英文資源也仍然是舊版的資料尚未更新。新版的Security Onion介面有些不同，也增加了新功能，例如2018年開始新版已經和ELK/Elastic Stack整合，官網上說明2018年8月後將停止支援ELSA介面；最低硬體需求為滿足Elastic Stack執行已經提高；新版支援PCAP Replay 可以載入PCAP檔案重播等等。所以後來找到相關文章、PPT、影片等都要先確認是在講新版？還是舊版？內容是否依然適用？幸好作者的Blog有持續更新介紹新資訊，陸續也找到更新資料，在學習的過程中也接觸其他網路安全監控工具，適合不同環境需求，已經慢慢熟悉網路安全監控這塊領域。

這次的文章假設讀者已經對網路和資訊安全有基礎，熟識一些英文名詞，例如IPS/IDS、Firewall、SPAN等等，所以不一定會特別解釋，或另列中文。雖然自己也還在摸索，期望藉著鐵人賽30天的督促加強學習，整理筆記和資料與讀者分享，也藉此拋磚引玉，歡迎大家分享相關經驗和意見，或提供更好的作法。接下來讓我們用30天，一起認識網路安全監測Network Security Monitoring (NSM)吧！

附註:
《實戰網路安全監控:入侵偵測與因應之道The Practice of Network Security Monitoring: Understanding Incident Detection and Response.》作者Richard Bejtlich的 blog
https://taosecurity.blogspot.com/