日志數(shù)據(jù)減少異常)，而這些并不需要關(guān)聯(lián)分析來發(fā)現(xiàn)。正如海量數(shù)據(jù)的分層存儲(chǔ)，安全事件的分層分析是分析引擎的發(fā)展趨勢(shì)。

對(duì)于實(shí)時(shí)事件分析主要分為基礎(chǔ)層分析和研究層分析：

基礎(chǔ)層分析：在這一層完成日志到事件的轉(zhuǎn)變，包括

關(guān)鍵日志識(shí)別，從普通的背景事件中識(shí)別關(guān)鍵事件(事件識(shí)別與分類必須完備)，通過常用技術(shù)手段是數(shù)據(jù)歸并、過濾;

初步異常事件發(fā)現(xiàn)，通過基礎(chǔ)分析引擎的應(yīng)用，包括特征匹配分析，統(tǒng)計(jì)閥值分析，將分析的安全事件結(jié)果傳遞給更高層級(jí)做進(jìn)一步分析。

研究層分析：在這一層完成事件到預(yù)警、工單、風(fēng)險(xiǎn)等處理的轉(zhuǎn)變

多引擎分析架構(gòu)包括基于趨勢(shì)發(fā)展分析，狀態(tài)機(jī)分析，數(shù)據(jù)挖掘分析，多屬性關(guān)聯(lián)分析，多類型事件間的關(guān)聯(lián)分析。

安全管理的實(shí)際效果，通常來源與管理分析規(guī)則的落地程度，以及關(guān)聯(lián)分析普適性預(yù)制場(chǎng)景，以及持續(xù)升級(jí)是保持安全管理平臺(tái)活力的直接來源。與云端和安全服務(wù)相結(jié)合，是大多數(shù)企業(yè)較好的選擇。

安全管理的可視化技術(shù)最重要的場(chǎng)景是兩個(gè)：全局安全狀況展現(xiàn)與實(shí)時(shí)監(jiān)控，安全事件事后分析。

全局安全狀況展現(xiàn)與實(shí)時(shí)監(jiān)控中，去繁從簡(jiǎn)，宏觀到微觀緊密結(jié)合是大趨勢(shì)。復(fù)雜的配置，眼花繚亂的展現(xiàn)效果并不能給普通企業(yè)管理人員帶來實(shí)質(zhì)性的效果。簡(jiǎn)介明了的預(yù)制模板，讓管理者和運(yùn)維人員都能很好的聚焦要解決的問題，層層下鉆的交互方式，則將宏觀的狀態(tài)與趨勢(shì)與微觀的事件，漏洞等相結(jié)合，使得定性監(jiān)控與定量分析融為一體。

安全事件事后分析中，聚類分析、圖像分析、屬性自動(dòng)聯(lián)想綜合運(yùn)用的關(guān)聯(lián)分析方法是安全事件分析的發(fā)展趨勢(shì)。能從各種可視化效果，為管理員準(zhǔn)確定位，判斷影響，制定應(yīng)對(duì)措施提供有力的輔助。精確定位是事后分析的處理問題的前提，發(fā)生攻擊企圖或者攻擊行為的時(shí)候，能快速精確定位攻擊的目標(biāo)，這是從發(fā)現(xiàn)問題到解決問題的必然途徑。精確定位中有效的可視化技術(shù)，能幫助管理人員及時(shí)定位問題區(qū)域，影響范圍。

3.5安全產(chǎn)品集中化，安全管理管到實(shí)處

過去幾年，安全管理和網(wǎng)絡(luò)管理逐漸融合，未來，資產(chǎn)與業(yè)務(wù)安全管理(終端，主機(jī)，設(shè)備，應(yīng)用)與安全事件分析與處理將更加緊密的結(jié)合在一起，為企業(yè)建立全方位的安全管理架構(gòu)。

安全管理一定要管起來，這包括：

˙終端安全，這不可缺少的一部分，包括終端的策略與惡意軟件查殺;

˙主機(jī)與設(shè)備操作監(jiān)控與審計(jì)，確保各管理員的工作一要授權(quán)，二要審查，避免出現(xiàn)IT里的權(quán)利真空;

˙主機(jī)、網(wǎng)絡(luò)設(shè)備與安全設(shè)備的配置檢查、備份與恢復(fù)，定期的自動(dòng)化工作能盡早發(fā)現(xiàn)問題，及時(shí)得到恢復(fù);

˙操作系統(tǒng)與應(yīng)用的漏洞(補(bǔ)丁)管理與運(yùn)行監(jiān)控，持續(xù)的漏洞與補(bǔ)丁跟蹤，才能提前做好防范與應(yīng)對(duì)準(zhǔn)備。

安全管理不是一味的和攻擊者比快，而是監(jiān)管結(jié)合，提前防備，攻擊預(yù)警，事后定位相結(jié)合，才能使安全管理發(fā)揮最大作用。做好這些“管理”工作，才能從被動(dòng)響應(yīng)到主動(dòng)管理。通過規(guī)范終端安全，加強(qiáng)主機(jī)監(jiān)管，定期配置檢查，進(jìn)行備份與恢復(fù)，對(duì)所使用的主流通用系統(tǒng)定期漏洞檢查，自動(dòng)獲取各系統(tǒng)補(bǔ)丁，而這些都在安全管理中自動(dòng)完成，并與系統(tǒng)運(yùn)維體系相結(jié)合，使IT管理部門將精力放在策略的制定和維護(hù)上，避免被動(dòng)響應(yīng)造成資源浪費(fèi)與服務(wù)質(zhì)量下降。

3.6安全管理產(chǎn)品與遠(yuǎn)程服務(wù)相結(jié)合

目前還沒有一勞永逸的安全管理產(chǎn)品，完全的智能化，任重而道遠(yuǎn)。因此安全服務(wù)與安全管理類產(chǎn)品相結(jié)合，是安全管理類軟件發(fā)揮最大效果的途徑之一。

大部分情況下，攻擊的發(fā)生，通過安全管理平臺(tái)的分析是能夠發(fā)現(xiàn)的，但這需要及時(shí)的分析規(guī)則升級(jí)，7×24小時(shí)的監(jiān)控，不同事件的專業(yè)化分析與積累，不斷完善事件處理知識(shí)庫(kù)。安全管理類軟件，與專業(yè)的安全管理服務(wù)中心所建立的遠(yuǎn)程在線實(shí)時(shí)服務(wù)，可以降低成本，獲得及時(shí)咨詢與服務(wù)，在一定程度上控制風(fēng)險(xiǎn)。對(duì)于大多數(shù)缺少專業(yè)人員的企業(yè)，結(jié)合安全服務(wù)來使用安全管理類產(chǎn)品是非常值得去嘗試的。