DevSecOps 成熟度模型 2024
成熟度模式DevSecOps成熟度模型,帮助组织实施和改进DevSecOps实践。
Monitoring
16收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播帖子) - 安全事件(自动批量购买机器人、凭证填充攻击) 通过监控这些基本指标,团队可以迅速调查异常模式,并确定它们是否代表需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。已设置预算的阈值和报警。风险:如果未收到达到预算上限的通知(例如由于服务拒绝),会产生意外成本。收集系统指标有助于识别事件,尤其是CPU使用、内存使用和硬盘使用等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于其严重性,这些情况应引起注意。风险:事件是在发生后才被发现。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全计划的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所使用的所有资源。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的),在每次违规的情况下可能会发送警报。对于入站流量,甚至可能不考虑警报。风险:像包过滤或应用防火墙这样的IDS/IPS系统可以检测和阻止攻击。目前不知道有多少攻击被检测和阻止。通过提供一个内部可访问的带有安全相关仪表板的屏幕,有助于可视化事件。风险:在事件发生期间,安全相关信息发现得太晚。测试期间的指标有助于识别编程错误。风险:更改可能因编程错误而导致高负载。标准:收集应用程序指标有助于识别诸如暴力攻击、登录/注销等事件。
收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源利用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播帖子) - 安全事件(自动批量购买机器人、凭证填充攻击) 通过监控这些基本指标,团队可以迅速调查异常模式,并确定它们是否代表需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会设置预算的阈值和报警。风险:如果未收到达到预算上限的通知(例如由于服务拒绝攻击),可能会产生意外成本。收集系统指标有助于识别事件,尤其是识别 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于其严重性,这些情况应引起注意。风险:事件是在发生后才被发现。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来显示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的),在每次违规的情况下可能会发送警报。对于入站流量,甚至可能不考虑警报。风险:像包过滤或应用防火墙这样的IDS/IPS系统可以检测和阻止攻击。目前不知道有多少攻击被检测和阻止。通过提供一个内部可访问的带有安全相关仪表板的屏幕,有助于可视化事件。风险:在事件发生过程中,安全相关信息被发现得太晚。测试期间的指标有助于识别编程错误。风险:更改可能由于编程错误而导致高负载。标准:云服务提供商通常会提供预算方面的见解。设置预算阈值和报警。
收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播)- 安全事件(自动批量购买机器人、凭证填充攻击)通过监控这些基本指标,团队可以快速调查异常模式,并确定其是否属于需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会设置预算的阈值和报警。风险:如果未收到达到预算上限的通知(例如由于服务拒绝),会产生意外成本。收集系统指标有助于识别事件,尤其是CPU使用、内存使用和硬盘使用等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于其严重性,这些情况应引起注意。风险:事件是在发生后才被发现。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可用于推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如基于IP/域名的情况下,每次违规都可能发送警报。对于入站流量,甚至可能不会考虑警报。风险:IDS/IPS系统,如包过滤或应用防火墙,可以检测并阻止攻击。目前尚不知道已经检测和阻止了多少次攻击。通过设置一个内部可访问的安全相关仪表板屏幕,有助于可视化事件。风险:在事件发生过程中安全相关信息被发现得太晚。测试过程中的指标有助于识别编程错误。风险:变更可能因为编程错误导致高负载。标准:收集系统指标有助于识别事件,特别是像CPU使用、内存使用和硬盘使用等瓶颈问题。
收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播)- 安全事件(自动批量购买机器人、凭证填充攻击)通过监控这些基本指标,团队可以快速调查异常模式,并确定其是否属于需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会为预算设置阈值和报警。风险:如果未收到达到预算上限的通知(例如由于服务拒绝攻击),可能会产生意外成本。收集系统指标有助于识别事件,尤其是识别 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于严重性,这些应该引起注意。风险:事件发生后才被发现。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全计划的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所使用的所有资源。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的情况下,每次违规都可能发送警报。对于入站流量,甚至可能不会考虑警报。风险:IDS/IPS系统,如包过滤或应用防火墙,可以检测并阻止攻击。目前尚不知道已经检测和阻止了多少次攻击。通过设置一个内部可访问的安全相关仪表板屏幕,有助于可视化事件。风险:在事故发生时安全相关信息发现得太晚。测试期间的指标有助于发现编程错误。风险:变更可能由于编程错误导致高负载。标准:为指标设定阈值。如果达到阈值,会发送警报。这些情况应引起重视,因为其影响严重。
收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播帖子) - 安全事件(自动批量购买机器人、凭证填充攻击) 通过监控这些基本指标,团队可以迅速调查异常模式,并确定它们是否代表需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会为预算设置阈值和报警。风险:如果未收到预算即将用尽的通知(例如由于拒绝服务攻击),可能会产生意外费用。收集系统指标有助于识别事件,尤其是像 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于其严重性,这些情况应引起注意。风险:事件是在发生后才被发现。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可用于推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的情况下,每次违规都可能发送警报。对于入站流量,甚至可能不会考虑警报。风险:IDS/IPS系统,如包过滤防火墙或应用防火墙,可以检测和阻止攻击。目前尚不清楚已检测和阻止了多少次攻击。通过设置内部可访问的带有安全相关仪表板的屏幕,有助于可视化事件。风险:在事件发生时,安全相关信息发现得太晚。测试期间的指标有助于识别编程错误。风险:由于编程错误,变更可能导致高负载。标准:实施成本预算。设置警报阈值,并在达到时发送错误。在最理想的情况下,设置第二个有上限的阈值,以确保成本不会进一步增加。
收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播帖子) - 安全事件(自动批量购买机器人、凭证填充攻击) 通过监控这些基本指标,团队可以迅速调查异常模式,并确定它们是否代表需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会为预算设置阈值和报警。风险:如果未收到达到预算上限的通知(例如由于服务拒绝攻击),可能会产生意外成本。收集系统指标有助于识别事件,尤其是识别 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于严重性,这些应该引起注意。风险:事件是在发生之后才被发现的。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全计划的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所使用的所有资源。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可用于推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的情况下,每次违规都可能发送警报。对于入站流量,甚至可能不会考虑警报。风险:IDS/IPS系统,如包过滤或应用防火墙,可以检测并阻止攻击。目前尚不知道已经检测和阻止了多少次攻击。通过设置一个内部可访问的安全相关仪表板屏幕,有助于可视化事件。风险:在事件发生期间,安全相关信息发现得太晚。测试期间的指标有助于识别编程错误。风险:由于编程错误,变更可能导致高负载。标准:指标以用户友好的方式实时可视化。
收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播)- 安全事件(自动批量购买机器人、凭证填充攻击)通过监控这些基本指标,团队可以快速调查异常模式,并确定其是否属于需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会为预算设置阈值和报警。风险:如果未收到预算即将用尽的通知(例如由于拒绝服务攻击),可能会产生意外费用。收集系统指标有助于识别事件,尤其是像 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于严重性,这些应该引起注意。风险:事件是在发生之后才被发现的。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机时间。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所使用的所有资源。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可用于推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如基于IP/域名的情况下,每次违规都可能发送警报。对于入站流量,甚至可能不会考虑警报。风险:IDS/IPS系统,如包过滤或应用防火墙,可以检测并阻止攻击。目前尚不知道已经检测和阻止了多少次攻击。通过设置一个内部可访问的安全相关仪表板屏幕,有助于可视化事件。风险:在事件发生期间,安全相关信息被发现得太晚。测试期间的指标有助于识别编程错误。风险:更改可能由于编程错误而导致高负载。标准:收集与可用性和稳定性相关的高级指标。例如,每年的非计划停机次数。
收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播)- 安全事件(自动批量购买机器人、凭证填充攻击)通过监控这些基本指标,团队可以快速调查异常模式,并确定其是否属于需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会为预算设置阈值和报警。风险:如果未收到达到预算上限的通知(例如由于服务拒绝攻击),可能会产生意外成本。收集系统指标有助于识别事件,尤其是识别 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于其严重性,这些情况应引起注意。风险:事件是在发生后才被发现。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要负责处理。来自测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可用于推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的情况下,每次违规都可能发送警报。对于入站流量,甚至可能不会考虑警报。风险:IDS/IPS系统,如包过滤或应用防火墙,可以检测并阻止攻击。目前尚不知道已经检测和阻止了多少次攻击。通过设置一个内部可访问的安全相关仪表板屏幕,有助于可视化事件。风险:在事件发生期间,安全相关信息被发现太晚。测试期间的指标有助于识别编程错误。风险:由于编程错误,变更可能导致高负载。标准:收集系统调用。
收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播帖子) - 安全事件(自动批量购买机器人、凭证填充攻击) 通过监控这些基本指标,团队可以迅速调查异常模式,并确定它们是否代表需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。已设置预算的阈值和报警。风险:如果未收到达到预算上限的通知(例如由于服务拒绝攻击),可能会产生意外成本。收集系统指标有助于识别事件,尤其是识别 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于严重性,这些应该引起注意。风险:事件是在发生之后才被发现的。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全计划的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的情况下,每次违规都可能发送警报。对于入站流量,甚至可能不会考虑警报。风险:IDS/IPS系统,如包过滤防火墙或应用防火墙,可以检测和阻止攻击。目前尚不清楚已检测和阻止了多少次攻击。通过设置内部可访问的带有安全相关仪表板的屏幕,有助于可视化事件。风险:在事件发生时安全相关信息被发现得太晚。测试期间的指标有助于识别编程错误。风险:由于编程错误,变更可能导致高负载。标准:停用未使用的指标有助于释放资源。
收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播帖子) - 安全事件(自动批量购买机器人、凭证填充攻击) 通过监控这些基本指标,团队可以迅速调查异常模式,并确定它们是否代表需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会设置预算的阈值和报警。风险:如果未收到达到预算上限的通知(例如由于服务拒绝攻击),可能会产生意外成本。收集系统指标有助于识别事件,尤其是识别 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于其严重性,这些情况应引起注意。风险:事件是在发生后才被发现。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可用于推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的),在每次违规的情况下可能会发送警报。对于入站流量,甚至可能不考虑警报。风险:像包过滤或应用防火墙这样的IDS/IPS系统可以检测和阻止攻击。目前不知道有多少攻击被检测和阻止。通过提供一个内部可访问的带有安全相关仪表板的屏幕,有助于可视化事件。风险:在事件中安全相关信息被发现得太晚。测试期间的指标有助于识别编程错误。风险:由于编程错误,变更可能导致高负载。标准:有意义的指标分组有助于加快分析速度。
收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播)- 安全事件(自动批量购买机器人、凭证填充攻击)通过监控这些基本指标,团队可以快速调查异常模式,并确定其是否属于需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会为预算设置阈值和报警。风险:如果未能收到达到预算上限的通知(例如由于拒绝服务攻击),会产生意外成本。收集系统指标有助于识别事件,尤其是识别 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于其严重性,这些情况应引起注意。风险:事件是在发生后才被发现。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要负责处理。来自测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来显示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的),在每次违规的情况下可能会发送警报。对于入站流量,甚至可能不考虑警报。风险:像包过滤防火墙或应用防火墙这样的入侵检测/防御系统可以检测并阻止攻击。尚不清楚已经检测和阻止了多少次攻击。通过设置一个内部可访问的安全相关仪表板,可以帮助可视化事件。风险:在事件发生过程中,安全相关信息发现得太晚。测试期间的指标有助于识别编程错误。风险:由于编程错误,变更可能导致高负载。标准:根据事件目标群体的定义,人们只会收到他们负责的事件的警报。
收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播帖子) - 安全事件(自动批量购买机器人、凭证填充攻击) 通过监控这些基本指标,团队可以迅速调查异常模式,并确定它们是否代表需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会为预算设置阈值和报警。风险:如果未收到预算即将用尽的通知(例如由于拒绝服务攻击),可能会产生意外费用。收集系统指标有助于识别事件,尤其是像 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于其严重性,这些情况应引起注意。风险:事件是在发生后才被发现。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的),在每次违规的情况下可能会发送警报。对于入站流量,甚至可能不考虑警报。风险:像包过滤或应用防火墙这样的IDS/IPS系统可以检测和阻止攻击。目前不知道有多少攻击被检测和阻止。通过提供一个内部可访问的带有安全相关仪表板的屏幕,有助于可视化事件。风险:在事件过程中安全相关信息发现得太晚。测试期间的指标有助于识别编程错误。风险:由于编程错误,变更可能导致高负载。标准:来自测试和验证维度的所有缺陷都已被记录。
收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及异常活动高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播帖子) - 安全事件(自动批量购买机器人、凭证填充攻击) 通过监控这些基本指标,团队可以迅速调查异常模式,并确定它们是否代表需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。已设置预算的阈值和报警。风险:如果未收到达到预算上限的通知(例如由于服务拒绝),会产生意外成本。收集系统指标有助于识别事件,尤其是CPU使用、内存使用和硬盘使用等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于严重性,这些应该引起注意。风险:事件是在发生之后才被发现的。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机时间。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的),在每次违规的情况下可能会发送警报。对于入站流量,甚至可能不考虑警报。风险:像包过滤或应用防火墙这样的IDS/IPS系统可以检测和阻止攻击。目前不知道有多少攻击被检测和阻止。通过提供一个内部可访问的带有安全相关仪表板的屏幕,有助于可视化事件。风险:在事件发生时,安全相关信息发现得太晚。测试期间的度量有助于识别编程错误。风险:变更可能由于编程错误导致高负载。标准:使用覆盖率和控制度量来显示安全程序的有效性。覆盖率是指特定安全控制在特定目标群体中使用所有资源的应用程度。控制程度显示了安全标准和安全指南的实际应用情况。例如,收集有关防病毒、防Rootkit、补丁管理、服务器配置和漏洞管理的信息。
收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播帖子) - 安全事件(自动批量购买机器人、凭证填充攻击) 通过监控这些基本指标,团队可以迅速调查异常模式,并确定它们是否代表需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会为预算设置阈值和报警。风险:如果未收到预算即将用尽的通知(例如由于拒绝服务攻击),可能会产生意外费用。收集系统指标有助于识别事件,尤其是像 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于严重性,这些应该引起注意。风险:事件是在发生之后才被发现的。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机时间。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来显示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可用于推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如基于IP/域名的情况下,每次违规都可能发送警报。对于入站流量,甚至可能不会考虑警报。风险:IDS/IPS系统,如包过滤或应用防火墙,可以检测并阻止攻击。目前尚不知道已经检测和阻止了多少次攻击。通过设置一个内部可访问的安全相关仪表板屏幕,有助于可视化事件。风险:在事件发生时,安全相关信息被发现得过晚。测试期间的指标有助于识别编程错误。风险:更改可能由于编程错误导致高负载。标准:收集防御指标,如 TCP/UDP 源,可以推断请求的地理位置。假设一个有出站流量过滤器的 Kubernetes 集群(例如)。基于IP/域名的情况,每次违规可能都会发送警报。对于入站流量,可能甚至不会考虑发出警报。
收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播)- 安全事件(自动批量购买机器人、凭证填充攻击)通过监控这些基本指标,团队可以快速调查异常模式,并确定其是否属于需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会为预算设置阈值和报警。风险:如果未能收到达到预算上限的通知(例如由于拒绝服务攻击),会产生意外成本。收集系统指标有助于识别事件,尤其是识别 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于其严重性,这些情况应引起注意。风险:事件是在发生后才被发现。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机时间。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的),在每次违规的情况下可能会发送警报。对于入站流量,甚至可能不考虑警报。风险:像包过滤或应用防火墙这样的IDS/IPS系统可以检测和阻止攻击。目前不知道有多少攻击被检测和阻止。通过提供一个内部可访问的带有安全相关仪表板的屏幕,有助于可视化事件。风险:在事件发生期间,安全相关信息发现得太晚。测试期间的指标有助于识别编程错误。风险:更改可能因编程错误而导致高负载。标准:通过拥有一个内部可访问的安全相关仪表板屏幕,有助于可视化事件。
收集应用程序指标有助于识别诸如暴力破解攻击、登录/注销模式以及活动异常高峰等事件。要监控的关键指标包括:- 身份验证尝试(成功/失败的登录)- 交易量和模式(例如订单,支付)- API 调用速率和响应时间 - 用户会话指标 - 资源使用情况 示例:一个电子商务应用通常每小时处理 100 个订单。每小时订单量突然飙升至1000可能意味着:- 正常事件(未宣布的营销活动、社交媒体病毒式传播)- 安全事件(自动批量购买机器人、凭证填充攻击)通过监控这些基本指标,团队可以快速调查异常模式,并确定其是否属于需要响应的安全事件。风险:对应用程序的攻击无法被识别。云服务提供商通常会提供预算方面的洞察。会为预算设置阈值和报警。风险:如果未收到预算即将用尽的通知(例如由于拒绝服务攻击),可能会产生意外费用。收集系统指标有助于识别事件,尤其是像 CPU 使用率、内存使用率和硬盘使用率等瓶颈。风险:没有简单的指标分析,事件很难处理。如果一个应用程序不时占用大量 CPU,开发人员很难通过 Linux 命令找出原因。指标阈值已设置。如果达到阈值,会发送警报。由于严重性,这些应该引起注意。风险:事件是在发生之后才被发现的。实施成本预算。设置警报阈值并在达到阈值时发送错误。在最佳情况下,会设置第二个带限值的阈值,以防成本过高。风险:不监控成本可能导致意外的高资源消耗和高额账单。指标以用户友好的方式实时可视化。风险:指标未可视化会导致指标使用受限。高级指标是针对可用性和稳定性收集的。例如,每年的计划外停机次数。风险:趋势和高级攻击未被检测到。收集系统调用。风险:系统事件(系统调用)的趋势和攻击未被检测到。停用未使用的指标有助于释放资源。风险:在收集未使用的指标时会使用大量资源。对指标的有意义分组有助于加快分析。风险:指标分析耗时。通过为事件定义目标组,人们只会收到他们负责的事件的警报。风险:人们对事件警报信息感到无聊(或忽视),因为他们不需要对其做出反应。测试和验证维度的所有缺陷都已被记录。风险:人们没有关注测试结果。即使漏洞被工具检测到,也未被重新识别。使用覆盖率和控制指标来展示安全程序的有效性。覆盖率是指针对特定目标群体,特定安全控制被应用的程度及所有资源的使用情况。控制程度则显示了安全标准和安全指南的实际应用情况。示例包括收集有关防病毒、反Rootkit、补丁管理、服务器配置和漏洞管理的信息。风险:配置、补丁和漏洞管理的有效性未知。收集防御指标,如TCP/UDP来源,可推测请求的地理位置。假设一个具有出口流量过滤的Kubernetes集群(例如)。基于IP/域名的),在每次违规的情况下可能会发送警报。对于入站流量,甚至可能不考虑警报。风险:像包过滤或应用防火墙这样的IDS/IPS系统可以检测和阻止攻击。目前不知道有多少攻击被检测和阻止。通过提供一个内部可访问的带有安全相关仪表板的屏幕,有助于可视化事件。风险:在事故过程中,安全相关信息发现得太晚。测试期间的指标有助于识别编程错误。风险:更改可能由于编程错误导致高负载。标准:测试期间的指标有助于识别编程错误。