| 分類 | 描述 | 舉例 | 相關功能 |
|---|---|---|---|
| 檢測與管理工具 | 用來監控系統或網路上的活動,檢測任何異常或可疑事件。 | 系統活動監控 | 事件檢測與通知 |
| 文件紀錄工具 | 用來紀錄與保存證據,方便進一步分析與調查。 | 事件處理日誌 | 搜集與整理調查證據 |
| 調查與分析工具 | 用於深入分析事件的詳細資料,包括網路封包資料、流量和其他指標。 | Packet Sniffers(封包分析器) | 深入分析活動與封包的細節,識別潛在威脅 |
| 學習與工具更新 | 強調安全領域學習的持續性,新工具與技術能應對日益隱蔽的威脅。 | 持續學習新技術 | 不斷增強應對新威脅的能力 |
文件的目的是提供指導與解決問題的資訊,不僅限於文字,也可以是音頻、數位化內容或手寫筆記等形式。
常見的文檔工具:
文書處理器:Google Docs, OneNote, Evernote, Notepad++
工單系統:Jira
其他工具:Google Sheets,音頻錄音器,相機,手寫筆記
當作為一名安全專業人員,製作與使用文件是日常工作的一部分。文件的清晰與準確度對事故應急具有關鍵影響。
| 主題 | 定義和功能 | 例子或軟件 | 備註 |
|---|---|---|---|
| 文檔的類型 | 不同型態的文檔滿足不同的需求,例如操作指南、政策、計畫及報告等。 | Playbooks, Incident Handler's Journals | 組織會根據需求與法律要求調整文檔形式。 |
| 文檔工具與選擇 | 用於記錄和儲存文件的工具,可以是雲端、語音記錄或手寫筆記等形式。 | Google Docs, Google Sheets, Evernote | 工單系統如 Jira 可追踪事件,OneNote 和音頻錄音器可補充記錄細節。 |
| 文件與應急響應 | 應急處理中,正確文檔能夠提供快速行動指南,減少糾紛與不確定性。 | 無 | 事件處理過程需記錄 5W (Who, What, Where, When, Why)。 |
| 考試指南 (工具類) | 可能出現於 CompTIA+ 的考試中列為常見工作工具相關問題。 | Google Docs, Jira, Notepad++, Evernote, OneNote | 應重點學習這些工具如何在事件處理和文件撰寫中實作應用。 |
| 功能 | IDS | IPS | EDR |
|---|---|---|---|
| Detects malicious activity 偵測惡意行為 | ✓ | ✓ | ✓ |
| Prevents intrusions 防止入侵 | ✘ | ✓ | ✓ |
| Logs activity 日誌活動記錄 | ✓ | ✓ | ✓ |
| Generates alerts 產生告警 | ✓ | ✓ | ✓ |
| Performs behavioral analysis 行為分析 | ✘ | ✘ | ✓ |
| 工具類型 | 定義 | 範例 | 常見工具 | 優勢 | 劣勢 |
|---|---|---|---|---|---|
| IDS | 用於偵測網路或系統中的異常行為,並產生告警,但不會主動中止威脅。 | 偵測到來自未知 IP 的可疑登入行為並告警,但不會封鎖該登入。 | Zeek、Suricata、Snort®、Sagan | 提供 24/7 持續監控 | 無法主動阻止威脅 |
| IPS | 除了偵測外還會主動防止威脅,並採取行動 (例如封鎖流量,修改路由器 ACL 等)。 | 發現入侵行為並即時阻止惡意活動。 | Suricata、Snort、Sagan(許多 IDS 工具同時支持 IPS 功能) | 提供主動防禦 | 可能造成正當流量的意外封鎖 |
| EDR | 監控端點設備(如電腦、手機)的惡意活動,結合行為分析使用 AI及機器學習技術來識別威脅。 | 偵測使用者電腦出現非正常啟動的程序,並自動終止該程序。 | Open EDR®、Bitdefender™ Endpoint Detection and Response、FortiEDR™ | 結合自動化功能主動防禦入侵,使用行為分析進行深入檢測 | 部署於多設備時成本較高 |
iThome鐵人賽
看影片追技術
看更多
yennefer
