分析人員必須靠工具程式找出入侵者，但處理方式比軟體更重要。工具程式收集與詮釋資料，但方法論提供觀念模式。Analysts need tools to find intruders, but methodology is more important than software. Tools collect and interpret data, but methodology provides the conceptual model.──《實戰網路安全監控入侵偵測與因應之道》

這系列網路安全監控 NSM的文章，介紹概論、佈署方式、地點選擇，也介紹一個好用的免費工具，LogRhythm NetMon Freemium，從安裝、設定、到操作都寫過了，但是網路安全監控並不只如此，我們需要休息一下，在介紹其他工具前跳回一開始的目標，思考我們為什麼需要網路安全監控？希望藉由網路安全監控達到什麼目的？

工具導向 v.s. 任務導向

為什麼要暫停反思呢？因為太多的公司企業團隊屬於工具導向的團隊，希望購買、佈署工具後就天下太平了，然後發現被侷限在這些工具的功能與限制，於是希望買更新更好的工具來解決問題，希望用這些工具建造滴水不漏的資安堡壘，保護公司寶貴的資產，。

英文裡有“Right Tool For The Job”，我們也聽過「工欲善其事，必先利其器」。當我們不確定自己的任務和目標，又怎麼選擇適合的工具呢？

*來自網路截圖

最怕是採購工具後就以為萬事大吉，其實完全沒有解決問題，甚至造成新問題或運作上的麻煩。常見的例子是老闆認為採購DLP﹝Data Loss Prevention資料外洩防護產品﹞可以保護公司資料，但是資料分級Data Classification沒落實，連公司有什麼資料要保護都不知道，結果什麼資料都採取嚴格防護的措施，徒增業務單位日常運作的麻煩；另一個常見的例子是老闆聽從廠商的建議採買EDR ﹝端點偵測與回應Endpoint Detection and Response﹞軟體，以為資安團隊跟上潮流可以進行Threat Hunting，結果只是拿來替代防毒軟體，沒有運用方法和投入人力，根本沒有Threat Hunting啊？

任務導向的團隊，因為有明確的目標/任務，能夠選擇適合的工具達成任務，將工具客制化甚至自建工具，不必盲目花錢也能更有效率地達成任務。像之前介紹的LogRhythm NetMon輕量好用，但它的設計是與自家SIEM產品結合，所以本身不能接收來自其他設備的Log日誌協助分析，在一個完全沒有SIEM的環境裡，即使運用DPA Rule，在偵測和分析上還是有侷限；但是若本身環境有SIEM相配合下，可以發揮功能提升能見度。

接下來會介紹其他工具，希望大家不要誤認「有了某某工具就是網路安全監控」，或是「非要有什麼工具才是網路安全監控」，以任務導向，選擇適合的工具吧！