另外，應(yīng)該定時(shí)進(jìn)行系統(tǒng)更新，同時(shí)，為了進(jìn)行集中監(jiān)控和控制，還應(yīng)該部署具有正式運(yùn)營(yíng)中心的系統(tǒng)監(jiān)視工具。

大數(shù)據(jù)安全：整合現(xiàn)有工具和流程

為了確保大數(shù)據(jù)安全倉(cāng)庫(kù)位于安全事件生態(tài)系統(tǒng)的頂端，我們還必須整合現(xiàn)有安全工具和流程。當(dāng)然，這些整合點(diǎn)應(yīng)該平行于現(xiàn)有的連接，因?yàn)槠髽I(yè)不能為了大數(shù)據(jù)的基礎(chǔ)設(shè)施改組而放棄其安全分析功能。對(duì)于一項(xiàng)新部署，最好的方法是盡量減少連接數(shù)量—通過(guò)連接企業(yè)和/或業(yè)務(wù)線的SIEM工具的輸出到大數(shù)據(jù)安全倉(cāng)庫(kù)。由于這些數(shù)據(jù)已經(jīng)被預(yù)處理，它將允許企業(yè)開(kāi)始測(cè)試其分析算法與加工后的數(shù)據(jù)集。

在與安全信息和事件管理工具的整合工作完成后，初始趨勢(shì)和事件將開(kāi)始顯現(xiàn)，我們還需要開(kāi)發(fā)一個(gè)程序來(lái)去耦SIEM工具的輸入使其直接進(jìn)入倉(cāng)庫(kù)。最好的做法是為輸入選擇一個(gè)良好定義的標(biāo)準(zhǔn)化數(shù)據(jù)格式，這將大大較少所需要的整合和規(guī)范化步驟，確保對(duì)數(shù)據(jù)倉(cāng)庫(kù)改善后的分析算法的持續(xù)驗(yàn)證。

隨著時(shí)間的推移，改進(jìn)的分析功能將使數(shù)據(jù)倉(cāng)庫(kù)成為企業(yè)安全工具的主要收集點(diǎn)，企業(yè)的安全辦公室將擁有對(duì)安全事件分析的單一入口點(diǎn)。

最后，由于大數(shù)據(jù)在一個(gè)新的不同的環(huán)境運(yùn)行，我們還需要為安全辦公人員定制一個(gè)培訓(xùn)計(jì)劃。培訓(xùn)計(jì)劃應(yīng)該著眼于新開(kāi)發(fā)的分析和修復(fù)過(guò)程，因?yàn)榘踩髷?shù)據(jù)倉(cāng)庫(kù)將通過(guò)這些過(guò)程來(lái)標(biāo)記和報(bào)告不尋常的活動(dòng)和網(wǎng)絡(luò)流量。大數(shù)據(jù)生態(tài)系統(tǒng)的實(shí)際操作有著非常標(biāo)準(zhǔn)化的功能，未經(jīng)授權(quán)的更改或者訪問(wèn)將很容易被發(fā)現(xiàn)。

大數(shù)據(jù)將為安全團(tuán)隊(duì)帶來(lái)新的工作方式，而不會(huì)出現(xiàn)科幻電影中“機(jī)器接管人類”的戲劇化的一幕。通過(guò)了解大數(shù)據(jù)的優(yōu)勢(shì)、制定切合實(shí)際的目標(biāo)以及利用現(xiàn)有安全技術(shù)的優(yōu)勢(shì)，安全管理人員將會(huì)發(fā)現(xiàn)他們?cè)诖髷?shù)據(jù)進(jìn)行的投資是值得的。