NIST 网络安全框架 2.0 2.0
控制项模式网络安全框架提供了管理网络安全风险的通用语言和系统方法。CSF 2.0 将其范围从关键基础设施扩展到所有组织,并新增了一个治理功能。
网络威胁情报和其他上下文信息已整合到分析中 标准:例如1:安全地向检测技术、流程和人员提供网络威胁情报数据 | 例如2:安全地向检测技术、流程和人员提供资产清单中的信息 | 例如3:迅速获取并分析组织技术的漏洞披露信息供应商、卖方和第三方安全通告
信息来自多个来源的关联 标准:示例1:将其他来源生成的日志数据不断传输到相对较少的日志服务器 | 示例2:使用事件关联技术(例如,SIEM)收集多个来源捕获的信息 | 示例3:利用网络威胁情报帮助关联日志来源之间的事件
不良事件的信息提供给授权人员和工具 标准:例如1:使用网络安全软件生成警报并将其提供给安全运营中心(SOC)、事件响应人员和事件响应工具 | 例如2:事件响应人员和其他授权人员可以随时访问日志分析结果 | 例如3:在组织的工单系统中自动创建和分配工单当发生某些类型的警报时的警报系统 | 示例4:当技术人员发现受损指标时,手动在组织的工单系统中创建并分配工单
已了解不良事件的估计影响和范围 标准:例1:使用SIEM或其他工具来估计影响和范围,并审查和完善这些估计 | 例2:某人自行创建影响和范围的估计
当不良事件符合已定义的事件标准时,即可声明为事件 标准: 示例1:将事件标准应用于已知和假定的活动特征,以确定是否应声明事件 | 示例2:在应用事件标准时考虑已知的误报
潜在的不利事件会被分析,以更好地理解相关活动 标准:例如1:使用安全信息和事件管理(SIEM)或其他工具持续监控日志事件,以发现已知的恶意和可疑活动 | 例如2:在日志分析工具中利用最新的网络威胁情报,以提高检测准确性,并描述威胁行为者、他们的方法及妥协指标omise | 示例3:定期对无法通过自动化充分监控的技术的日志事件进行人工审查 | 示例4:使用日志分析工具生成关于其发现的报告