安全日志审计 & 异常行为分析
📋 30章 · 完整目录
v2.4
01
安全日志基础
📌 定义与重要性
📌 系统/网络/应用日志
📌 Syslog·JSON·CEF
02
日志采集架构
📌 ELK Stack集中式
📌 Flume·Kafka分布式
📌 Agent部署策略
03
日志预处理技术
📌 日志清洗
📌 字段提取
📌 时间戳标准化
📌 去重与聚合
04
日志存储与索引
📌 ES索引设计
📌 分片策略
📌 冷热数据分离
📌 生命周期管理
05
SIEM系统原理
📌 SIEM核心功能
📌 事件关联规则
📌 告警阈值设定
📌 误报处理
06
异常检测基础
📌 均值·标准差
📌 时间序列分析
📌 基线建模
07
规则引擎设计
📌 Sigma规则语法
📌 规则优先级
📌 生命周期管理
08
用户行为分析(UEBA)
📌 用户实体画像
📌 行为基线建立
📌 异常偏离检测
09
网络流量异常分析
📌 流量基线
📌 DDoS检测
📌 DNS隧道识别
📌 端口扫描
10
主机日志审计
📌 Windows Event ID
📌 Linux /var/log
📌 进程与文件监控
11
Web日志分析
📌 Apache/Nginx解析
📌 SQL注入检测
📌 XSS识别
📌 爬虫行为
12
数据库审计日志
📌 MySQL慢查询
📌 Oracle审计
📌 异常SQL检测
13
云安全日志审计
📌 AWS CloudTrail
📌 Azure Monitor
📌 GCP日志审计
📌 API调用分析
14
容器与K8s日志审计
📌 Docker日志
📌 K8s事件日志
📌 Pod异常检测
15
威胁情报集成
📌 STIX/TAXII
📌 IOC匹配
📌 情报置信度评估
16
机器学习异常检测
📌 监督分类
📌 无监督聚类
📌 半监督学习
17
深度学习日志分析
📌 LSTM时序预测
📌 AutoEncoder异常
📌 CNN模式识别
18
实时流处理
📌 Flink日志处理
📌 Spark Streaming
📌 窗口计算
19
告警管理与响应
📌 告警分级·抑制
📌 告警升级
📌 SOAR自动化
20
日志可视化
📌 Kibana仪表盘
📌 Grafana告警面板
📌 趋势图·热力图
21
合规审计
📌 GDPR日志保留
📌 PCI DSS标准
📌 等保2.0要求
22
日志安全与隐私
📌 日志脱敏
📌 加密传输
📌 访问控制
📌 完整性保护
23
攻击链分析
📌 Kill Chain模型
📌 ATT&CK映射
📌 攻击路径还原
24
内部威胁检测
📌 数据泄露检测
📌 权限滥用分析
📌 离职员工预警
25
APT攻击检测
📌 长周期低频攻击
📌 C2通信检测
📌 横向移动分析
26
日志数据质量
📌 完整性校验
📌 缺失值处理
📌 异常值过滤
📌 数据源可靠性
27
大规模日志性能优化
📌 采样策略
📌 聚合查询优化
📌 索引优化
📌 硬件选型
28
日志审计平台搭建实战
📌 从零搭建ELK
📌 Logstash管道
📌 Kibana告警配置
29
案例实战
📌 Web入侵分析
📌 勒索软件特征
📌 内部泄露溯源
30
未来趋势
📌 AI驱动安全运营
📌 零信任日志架构
📌 联邦日志分析
📌 量子安全日志