很多网友留言问如何配置Supervisor 自启动，现将如何在CentOS7下配置Supervisor自启动的两种方法整理如下：

一、方法一

直接将启动命令加入到/etc/rc.d/rc.local中（简单但不推荐）

1

vi /etc/rc.d/rc.local

在现有的内容后面加入supervisor的启动命令
supervisord -c /etc/supervisord.conf

注意：一定要执行 chmod +x /etc/rc.d/rc.local

chmod +x /etc/rc.d/rc.local

给文件加入可执行权限
根据官方的提示，该方式是不被建议的，强烈建议创建自己的systemd services或udev规则来启动自已的应用，也就是方法二。

二、方法二

通过创建systemd services来实现自启动 （推荐）
进入到/usr/lib/systemd/system/目录

1

[root@localhost ~]# cd /usr/lib/systemd/system/

找到supervisord及supervisorctl命令的路径

1
2
3
4

[root@localhost system]# which supervisord
/usr/local/bin/supervisord
[root@localhost system]# which supervisorctl
/usr/local/bin/supervisorctl

创建文件supervisord.service

1

vi supervisord.service

复制以下代码。注意：supervisord及supervisorctl命令的路径根据实际情况进行修改

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

#supervisord.service

[Unit]
Description=Supervisor daemon

[Service]
Type=forking
ExecStart=/usr/local/bin/supervisord -c /etc/supervisord.conf
ExecStop=/usr/local/bin/supervisorctl shutdown
ExecReload=/usr/local/bin/supervisorctl reload
KillMode=process
Restart=on-failure
RestartSec=42s

[Install]
WantedBy=multi-user.target

启用服务

1
2

[root@localhost system]# systemctl enable supervisord
Created symlink from /etc/systemd/system/multi-user.target.wants/supervisord.service to /usr/lib/systemd/system/supervisord.service

启动服务

1

[root@localhost ~]# systemctl start supervisord

查看服务状态

1
2
3
4
5
6
7
8
9
10
11

[root@localhost ~]# systemctl status supervisord
● supervisord.service - Supervisor daemon
   Loaded: loaded (/usr/lib/systemd/system/supervisord.service; enabled; vendor preset: disabled)
   Active: active (running) since Thu 2021-11-11 11:11:36 CST; 12s ago
  Process: 3822 ExecStart=/usr/local/bin/supervisord -c /etc/supervisord.conf (code=exited, status=0/SUCCESS)
 Main PID: 3850 (supervisord)
   CGroup: /system.slice/supervisord.service
           ├─3850 /usr/local/bin/python3.8 /usr/local/bin/supervisord -c /etc/supervisord.conf
           ├─3916 uwsgi --ini /home/flask_web/uwsgi.ini
           ├─3918 uwsgi --ini /home/flask_web/uwsgi.ini
           └─3919 uwsgi --ini /home/flask_web/uwsgi.ini

验证一下是否为开机启动

1
2

[root@localhost system]# systemctl is-enabled supervisord
enabled

reboot重启服务器后，可以发现supervisor随服务器启动后自动启动了。

至此，本文介绍了CentOS7下配置Supervisor自启动的两种方法，推荐使用第二种方式。

作者博客：http://xiejava.ishareread.com/

IP地址信息是非常重要的情报信息，通过IP可以定位到该IP所在的国家、城市、经纬度等。
获取IP信息的方式有很多，很多服务商都提供了相应的地址库或API接口服务。
如国内的ipip.net，国外的ip-api.com、maxmind.com等。
很多公司都是使用Maxmind网站的IP信息库，里面包含着IP的详细信息，有付费的也有免费的，收费与免费的区别就是精准度和覆盖率。

本文介绍下载及定时更新Maxmind的离线库用python通过GeoIP来获取IP信息

一、下载GeoLite2离线地址库

1、注册及申请License Key

下载地址库之前先要在Maxmind网站注册同意相应的协议并登陆。

1）注册

访问 https://dev.maxmind.com/geoip/geolite2-free-geolocation-data

点击”Sign Up for GeoLite2” 根据输入框进行注册

注意邮箱一定要正确，注册后会发邮件进行确认及修改密码。
根据注册的用户名和修改后的密码登陆就可以直接下载离线包了。

点击”Download Databases”进入到下载页面，可以看到提供了CSV及mmdb两种格式的离线库包，最近的更新时间为2021年11月02日。

由于IP地址信息是经常有变化的，Maxmind提供了geoipupdate工具来更新离线地址包。该工具使用需要申请账号和License Key

2）申请License Key

还是通过刚注册的引导页面，点击“Generate a License Key”

进如到页面后，点击“Generate new license key”


点击确定以后就会生成账号及License key

2、下载并配置geoipupdate

https://github.com/maxmind/geoipupdate
这里有详细的安安装及配置说明

发行版本下载地址 https://github.com/maxmind/geoipupdate/releases

可以看到提供了各种平台的版本的下载链接，这里我们下载安装的是linux版本，点击下载“geoipupdate_4.8.0_linux_amd64.tar.gz”
在home目录下执行

1

wget https://github.com/maxmind/geoipupdate/releases/download/v4.8.0/geoipupdate_4.8.0_linux_amd64.tar.gz

下载至home目录

tar -zxvf geoipupdate_4.8.0_linux_amd64.tar.gz 进行解压
cd geoipupdate_4.8.0_linux_amd64 目录执行ls -alh查看目录内容，发现有两个关键文件，一个是getipupdate命令执行文件，一个是GeoIP.conf配置文件

将执行命令拷贝到命令文件夹

1

cp geoipupdate /usr/local/bin/

geoipupdate命令读配置文件默认为/usr/local/etc/GeoIP.conf将配置文件拷贝到/usr/local/etc/下

1

cp GeoIP.conf /usr/local/etc/

1

vi /usr/local/etc/GeoIP.conf

如上图修改离线库文件目录及账号、LicenseKey，AccountID和LicenseKey就是开始在Maxmind网站上申请的。

3、运行geoipupdate命令并加入定时任务

执行geoipupdate命令，在目录下面产生了GeoLite2-City.mmdb、GeoLite2-Country.mmdb两个离线库文件。

创建Linux定时任务，每周自动更新一下离线库文件

1
2

crontab -e
0 0 * * 0 /usr/local/bin/geoipupdate

二、通过Python调用GeoIP获取IP信息

默认已经安装好了Flask环境，并激活了python虚拟环境。激活python虚拟环境安装Flask教程见http://xiejava.ishareread.com/posts/7f405b25/

1、安装geoip2

1

pip install geoip2

2、编写hello.py调用geoip2

1

vi hello.py

复制以下代码到hello.py

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

from flask import Flask
import geoip2.database

app = Flask(__name__)
reader=geoip2.database.Reader('/home/geoipupdate_4.8.0_linux_amd64/GeoLite2-City.mmdb')
@app.route("/")
def hello():
    return "Hello World!"

@app.route("/getip/<ip>")
def getip(ip):
    ipinfo=reader.city(ip)
    ipinfo_json={'country':ipinfo.country.name,'city':ipinfo.city.name,'location':[ipinfo.location.longitude,ipinfo.location.latitude]}
    return ipinfo_json

if __name__ == "__main__":
    app.run(host='0.0.0.0',port=8080)

3、运行hello.py

1
2
3
4
5
6
7
8
9

(flask_web) [root@localhost flask_web]# python hello.py
 * Serving Flask app 'hello' (lazy loading)
 * Environment: production
   WARNING: This is a development server. Do not use it in a production deployment.
   Use a production WSGI server instead.
 * Debug mode: off
 * Running on all addresses.
   WARNING: This is a development server. Do not use it in a production deployment.
 * Running on http://192.168.1.18:8080/ (Press CTRL+C to quit)

注意：如果linux开启了防火墙请关闭防火墙，或放开192.168.1.18

4、验证

通过浏览器访问 http://192.168.1.18:8080/getip/128.101.101.101

可以看到返回IP的国家、城市、经纬度等信息。

至此，本文介绍了如何注册并下载GeoIP离线数据包，并通过官方提供的geoipupdate进行定期更新数据。还介绍了如何通过Python调用GeoIP获取IP信息。

作者博客：http://xiejava.ishareread.com/

在生产环境中通常用uwsgi作为Flask的web服务网关，通过nginx反向代理进行负载均衡，通过supervior进行服务进行的管理。这一套搭下来还是有一些坑要踩，本文通过一个简单的Flask web应用记录了CentOS7下python3+Flask+uWSGI+Nginx+Supervisor环境搭建的全过程，以及一些注意事项，以免遗忘。

一、Python3环境安装

CentOS7下Python3环境安装参考 http://xiejava.ishareread.com/posts/57cef505/

查看python版本

1
2

[root@localhost ~]# python -V
Python 3.8.12

二、安装Flask

1、创建Python虚拟环境

在home目录下创建flask_web目录（目录根据具体实际环境创建，本教程是/home/flask_web）
通过venv创建虚拟环境
[root@localhost flask_web]# python -m venv /home/flask_web
创建成功后可以看到在目录下自动建了一些文件夹，包括python命令及依赖库等，激活以后是个独立的python虚拟运行环境。

在目录下运行source bin/activate 激活虚拟环境

1
2

[root@localhost flask_web]# source bin/activate
(flask_web) [root@localhost flask_web]#

2、安装Flask

通过pip install flask安装flask

1

(flask_web) [root@localhost flask_web]# pip install flask

安装的时候有可能报ModuleNotFoundError: No module named ‘_ctypes’的错误，原因是缺少libffi-devel包，具体可参考 https://blog.csdn.net/qq_36416904/article/details/79316972

运行yum install libffi-devel -y 并且要重新编译执行安装python
解决包依赖的问题
(flask_web) [root@localhost flask_web]# yum install libffi-devel -y
进入到python源码包目录 执行使用make&make install 命令重新编译并安装python（这里比较坑）
然后再pip install flask 进行安装
安装完成后可以尝试运行flask run，提示没有Flask应用程序，说明flask已经安装成功并且可以运行了。

1
2
3
4
5
6
7
8
9

(flask_web) [root@localhost flask_web]# flask run
 * Environment: production
   WARNING: This is a development server. Do not use it in a production deployment.
   Use a production WSGI server instead.
 * Debug mode: off
Usage: flask run [OPTIONS]
Try 'flask run --help' for help.

Error: Could not locate a Flask application. You did not provide the "FLASK_APP" environment variable, and a "wsgi.py" or "app.py" module was not found in the current directory.

3、建立测试应用
vi hello.py创建一个hello.py的文件，copy下面的内容到文件中:wq保存退出

1
2
3
4
5
6
7
8
9

from flask import Flask
app = Flask(__name__)

@app.route("/")
def hello():
    return "Hello World!"

if __name__ == "__main__":
    app.run()

通过python hello.py运行测试程序

1
2
3
4
5
6
7

(flask_web) [root@localhost flask_web]# python hello.py
 * Serving Flask app 'hello' (lazy loading)
 * Environment: production
   WARNING: This is a development server. Do not use it in a production deployment.
   Use a production WSGI server instead.
 * Debug mode: off
 * Running on http://127.0.0.1:5000/ (Press CTRL+C to quit)

新开一个shell窗口执行curl http://127.0.0.1:5000/ 可以看到有Hello World返回说明应用在flask框架下运行没有问题。

1
2

[root@localhost ~]# curl http://127.0.0.1:5000/
Hello World!

三、安装及配置uwsgi

uWSGI是一个Web Server，并且独占uwsgi协议，但是同时支持WSGI协议、HTTP协议等，它的功能是把HTTP协议转化成语言支持的网络协议供python使用。有点类似于Java的web服务容器中间件tomcat

1、安装uwsgi

通过pip命令安装

1

(flask_web) [root@localhost flask_web]# pip install uwsgi

如果顺利的话会显示Successfully installed uwsgi-2.0.20，表示安装成功了。

2、配置uwsgi

新建一个uwsgi.ini配置文件，并将配置信息复制到配置文件
vi uwsgi.ini

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

[uwsgi]
#http=127.0.0.1:3366  #如果是http,通过proxy_pass http链接
socket=127.0.0.1:3366 #如果是socket，通过nginx配置uwsgi_pass socket链接
wsgi-file=/home/flask_web/hello.py
callable=app
touch-reload=/home/flask_web/
#最大请求数，最多请求5000次就重启进程，以防止内存泄漏
max-requests=5000
#请求超时时间，超过60秒关闭请求
harakiri=60
#进程的数量
processes=1
#线程数
threads = 2
#记录pid的文件
pidfile=/home/flask_web/uwsgi.pid
buffer-size = 32768
#日志最大50M
log-maxsize=50000000
#配置虚拟环境路径，如果是在虚拟环境下启动，这个一定要配，不配会有些包找不到，应用会报错。可以在uwsgi.log文件中看报错信息
virtualenv =/home/flask_web
#uwsgi日志文件，如果是通过supervisor托管，daemonize配置需要屏蔽
#daemonize=/home/flask_web/uwsgi.log
#项目更新后，自动加载
python-autoreload=1
#状态检测地址
stats = 127.0.0.1:9191

3、运行uwsgi

1

(flask_web) [root@localhost flask_web]# uwsgi --ini /home/flask_web/uwsgi.ini

启动以后通过访问curl http://127.0.0.1:3366 有Hello World!的返回信息表示uwsgi已经成功启动，并且应用程序正常。

1
2

[root@localhost flask_web]# curl http://127.0.0.1:3366
Hello World!

四、配置Nginx反向代理

ps -ef|grep nginx 找到nginx的配置文件

如果uwsgi配置的是socket连接
[uwsgi]
socket=127.0.0.1:3366 #如果是socket，通过nginx配置uwsgi_pass socket链接
nginx的server配置如下：

1
2
3
4
5
6
7
8
9
10
11

server {
     listen 808;
     server_name localhost;

     location / {
          include uwsgi_params;
          uwsgi_pass 127.0.0.1:3366;
      }
      access_log /home/flask_web/access.log;
      error_log /home/flask_web/error.log;
  }

如果uwsgi配置的是http
[uwsgi]
http=127.0.0.1:3366 #如果是http,通过proxy_pass http链接
nginx的server配置如下：

1
2
3
4
5
6
7
8
9
10

server {
      listen 808;
      server_name localhost;

      location / {
           proxy_pass http://127.0.0.1:3366;
       }
       access_log /home/flask_web/access.log;
       error_log /home/flask_web/error.log;
   }

重新加载nginx配置后，通过浏览器访问可以正常显示访问结果

五、通过Supervisor进行进程托管

生产环境中，可以通过supervisor来进行uwsgi和nginx进程的托管，界面化的方式管理uwsgi和nginx，包括进程的监控、启停等。

1、安装supervisor

通过pip安装

1

pip install supervisor

离线安装请参考：http://xiejava.ishareread.com/posts/d670c9b8/

2、配置supervisor

找到supervisord的安装目录在/usr/local/bin下

1
2

[root@localhost bin]# which supervisord
/usr/local/bin/supervisord

cd到/usr/local/bin目录下
通过echo_supervisord_conf > supervisord.conf

1

[root@localhost bin]# echo_supervisord_conf > supervisord.conf

可以看到生成了一个supervisord.conf的配置文件。
将生成的supervisord.conf配置文件放到/etc/目录下

1

mv supervisord.conf /etc/

修改supervisord.conf的配置文件，主要是将子配置文件路径开启并指定配置文件路径，按照惯例将配置文件放到/etc目录下

1
2

[include]
files = /etc/supervisord.d/*.ini

我们在/etc目录下建个supervisord.d目录用来保存supervisor托管进程的配置文件

1
2

[root@localhost ~]# cd /etc/
[root@localhost etc]# mkdir supervisord.d

建立并配置子配置文件

1
2

[root@localhost etc]# cd supervisord.d/
[root@localhost supervisord.d]# vi uwsgi.ini

复制以下内容至uwsgi.ini文件中

1
2
3
4
5
6
7
8
9
10
11
12

[program:uwsgi]
command =uwsgi --ini /home/flask_web/uwsgi.ini
directory=/home/flask_web
startsecs=10
startretries=5
autostart=true
autorestart=true
stdout_logfile=/home/flask_web/uwsgi_sup_log.log
stdout_logfile_maxbytes=10MB
user=root
stopasgroup=true
killasgroup=true

3、启动supervisor

在启动supervisor拉起uwsgi前两个注意事项

1) uwsgi的配置文件中daemonize一定要屏蔽掉，否则守护进程一直会重启，导致端口每次都被占用，Supervisor托管不了。

2) 在启动之前先将已经启动的uwsgi进程停掉，否则通过supervisor拉起uwsgi进程时端口冲突

启动supervisord进程

1

[root@localhost bin]# supervisord -c /etc/supervisord.conf

修改配置文件后重新加载可以通过 supervisorctl reload 命令重新加载
查看supervisor托管状态

1
2

[root@localhost supervisord.d]# supervisorctl status
uwsgi                            STARTING

可以看到uwsgi被supervisor托管并已经启动。如果需要通过supervisor的web控制界面进行进程的管理。需要修改/etc/supervisord.conf的配置文件将访问的IP地址限制放开，设置用户名、口令

1
2
3
4

[inet_http_server]         ; inet (TCP) server disabled by default
port=*:9001        ; ip_address:port specifier, *:port for all iface
username=user              ; default is no username (open server)
password=user@123               ; default is no password (open server)

重新启动supervisor，重启时会报需要验证的错误

1
2
3

[root@localhost supervisord.d]# supervisorctl shutdown
Server requires authentication
error: <class 'xmlrpc.client.ProtocolError'>, <ProtocolError for 127.0.0.1/RPC2: 401 Unauthorized>: file: /usr/local/lib/python3.8/site-packages/supervisor/xmlrpc.py line: 542

可以直接kill -9杀掉supervisor的进程再启动，也可以通过supervisorctl 输入用户名、口令通过shutdown然后再重启。
启动命令：supervisord -c /etc/supervisord.conf

这时就可以通过supervisor的web控制界面进行进程的管理了。

至此，CentOS7下python3+Flask+uWSGI+Nginx+Supervisor环境全部搭建好了。

作者博客：http://xiejava.ishareread.com/

环境的搭建是进行开发的第一步，python因为存在python2和python3两个版本，让在建立python环境时造成不便，并且由于在Linux环境下不像Window环境安装那么友好，存在一些小坑。本教程记录了CentOS7下安装python3.8的过程和注意事项。

一、查看系统版本

1
2

[root@localhost ~]# cat /etc/centos-release
CentOS Linux release 7.2.1511 (Core)

1
2

[root@localhost ~]# uname -a
Linux localhost.localdomain 3.10.0-327.el7.x86_64 #1 SMP Thu Nov 19 22:10:57 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

查看python版本

1
2

[root@localhost ~]# python -V
Python 2.7.5

系统默认安装了Python 2.7.5

二、安装依赖

1

yum install zlib-devel bzip2-devel openssl-devel ncurses-devel sqlite-devel readline-devel tk-devel gcc make

如果有提示一路选择Y就可以

三、下载python源码包

python官网https://www.python.org/ 目前python最新版本是python3.10

下载稳定版本3.8版

1

wget https://www.python.org/ftp/python/3.8.12/Python-3.8.12.tgz

四、解压安装python源码包

1、解压

1

tar -zxvf Python-3.8.12.tgz

2、安装

进入解压后的目录进行编译和安装

1
2

cd Python-3.8.12/
[root@localhost Python-3.8.12]#

1

[root@localhost Python-3.8.12]# ./configure

1

[root@localhost Python-3.8.12]# make&&make install

执行完后显示安装成功

3、建立命令软链接

虽然python3.8.12安装成功了，但默认输入python还是显示是2.7版本的。如果要用python3.8.12需要输入python3即可，有时候不太方便。可以通过修改软链接的方式将默认的python指向python3.8.12。
先看一下默认的python及新安装的python3都安装在哪里

1
2

[root@localhost Python-3.8.12]# which python
/usr/bin/python

1
2

[root@localhost Python-3.8.12]# which python3
/usr/local/bin/python3

可以看到默认的python路径为/usr/bin/python，python3的路径为/usr/local/bin/python3
将python3的软链接加到python上

1
2

[root@localhost Python-3.8.12]# mv /usr/bin/python /usr/bin/python.bak
[root@localhost Python-3.8.12]# ln -s /usr/local/bin/python3 /usr/bin/python

通过python -V命令查看python版号，这时python的版本已经是3.8.12了。

1
2

[root@localhost Python-3.8.12]# python -V
Python 3.8.12

pip命令也可以修改，python3.8.12默认的pip是pip3，CentOS7的python2.7默认没有安装pip.
输入pip命令的时候提示命令没有找到

1
2

[root@localhost Python-3.8.12]# pip
bash: pip: command not found...

这时也可以通过建立软链接的方式将pip命令链接到pip3上。首先看pip3命令在哪?

1
2

[root@localhost Python-3.8.12]# which pip3
/usr/local/bin/pip3

然后建立pip到pip3的软链接

1

[root@localhost Python-3.8.12]# ln -s /usr/local/bin/pip3 /usr/bin/pip

1
2

[root@localhost Python-3.8.12]# pip -V
pip 21.1.1 from /usr/local/lib/python3.8/site-packages/pip (python 3.8)

五、配置yum

安装python3改完软链接以后发现yum命令报错了，yum是依赖python2.7的，你把python改成了3.8了，所以报错了。

1
2
3
4
5

[root@localhost Python-3.8.12]# yum
  File "/usr/bin/yum", line 30
    except KeyboardInterrupt, e:
                            ^
SyntaxError: invalid syntax

可以修改yum里对python2的依赖即可。虽然安装了python3但是系统里python2依旧还在系统里，可以通过python2来指定用python2.7的命令，首先来看下python2的命令在哪里

1
2

[root@localhost ~]# which python2
/usr/bin/python2

可以cd到/usr/bin目录下 通过ls -alh|grep python查看python命令的详细情况。

1

[root@localhost bin]# ls -alh|grep python

可以看到python软连接是执行的python3命令，python2是执行的python2.7的命令

1

vi /usr/libexec/urlgrabber-ext-down

修改对python的依赖，修改成python2或python2.7都可以。

1

vi /usr/bin/yum

修改完这两个文件后，再敲yum命令就不会报错了。

至此CentOS7环境下python3.8.12已经成功安装！

作者博客：http://xiejava.ishareread.com/

SOAR是最近几年安全市场上最火热的词汇之一。SOAR究竟是什么，发展历程是什么，能够起什么作用，带着这些问题我们来认识一下SOAR。

一、SOAR是什么

SOAR 一词来自分析机构 Gartner，SOAR-Security Orchestration, Automation and Response 安全编排和自动化响应。在Gartner的报告里，SOAR平台的核心组件为，编排与自动化、工作流引擎、案例与工单管理、威胁情报管理。而SOAR体系则是三个概念的交叉重叠：SOAR=SOA+SIRP+TIP
1）精密编排的联动安全解决方案(SOA)；
2）事件应急响应平台(SIRP)；
3）威胁情报平台(TIP)。

二、SOAR的发展历程

2015年，可以定义为SOAR的1.0时代。Gartner将SOAR(当时被认为是“安全运维分析和报告”)描述成为安全运维团队提供机器可读的安全数据报告和分析管理功能的产品。2017年，SOAR进入2.0时代。Gartner提出了“安全编排、自动化及响应”(SOAR)这个术语，用以描述脱胎于事件响应、安全自动化、场景管理和其他安全工具的一系列新兴平台。Gartner观察到三种以前截然不同的技术：安全编排和自动化(SOA)、安全事件响应平台(SIRPs)和威胁情报平台(TIPs)，正在逐步融合到一起。
根据Gartner2019年最新定义，SOAR是指能使企业组织从SIEM等监控系统中收集报警信息，或通过与其它技术的集成和自动化协调，提供包括安全事件响应和威胁情报等功能。SOAR技术市场最终目标是将安全编排和自动化(SOA)、安全事件响应(SIR)和威胁情报平台(TIP)功能融合到单个解决方案中。

根据Gartner预测，到2022年，有30%大型企业组织（安全团队超过5人）将在安全和运维的工作中使用SOAR，这一比例远超当下5%。当下SOAR技术的早期拥护者是那些已经拥有成熟安全运维中心，并且能够理解SOAR带来好处的那些成熟的安全组织。

三、SOAR主要解决什么问题

随着网络安全攻防对抗的日趋激烈，网络安全单纯指望防范和阻止的策略已经失效，必须更加注重检测与响应。企业和组织要在网络已经遭受攻击的假定前提下构建集阻止、检测、响应和预防于一体的全新安全防护体系。在国际上，检测和响应类产品受到了极大的关注。放眼国内，更多的注意力集中到了新型检测产品，尤其是未知威胁检测领域。借助这些产品和技术，用户获得了更低的 MTTD（平均检测时间），能够更快更准确地检测出攻击和入侵。但是，这些产品和技术大都没有帮助用户降低 MTTR（平均响应时间）。事实上，对于用户而言，更快地检测出问题仅仅是第一步，如何快速地对问题进行响应更加重要。而在提升安全响应效率的时候，不能仅仅从单点（譬如单纯从端点或者网络）去考虑，还需要从全网整体安全运维的角度去考虑，要将分散的检测与响应机制整合起来。而这，正是 SOAR 要解决的问题。
Gartner指出，SOAR可供公司企业收集不同来源的安全威胁数据和警报，运用人机结合的方法进行事件分析与分类，根据标准流程辅助定义、排序和驱动标准化事件响应行为。SOAR主要为安全团队提供定制化的流程和控制，弥合并加速有效网络威胁的调查与缓解。安全运营团队的大量日常事务性工作也可以借助SOAR加以自动化。而且，案例战术手册还可以帮助分析师在单一平台上响应和缓解威胁，节约事件响应的每一分每一秒宝贵时间。
Gartner 用 OODA 模型，来描绘一个典型的安全运营流程。OODA 即 Observe(观察)、Orient(定位)、Decide(决策)、Act(行动)。

• 观察：观察事件并确定发生了什么，即通过各种检测、分析工具，比如 SIEM 类工具，找到威胁线索，如告警。
• 定位：确定观察的方向，并添加上下文来确定观察的含义，即对产生的告警的内容做调查、丰富化。比如查找外网域名的威胁情报，查找此 IP 的历史行为协助研判等等。
• 决策：根据业务的风险容忍度和能力决定适当的响应行动，即判定是否需要对此告警采取行动，比如是否需要封禁，是否影响业务，是否需要进一步观察。
• 行动：根据决定采取行动，并应用到观察过程中，然后重复，即执行确定的安全策略，并验证。每一步都对下一步提供了指导，周而复始，构成了一个良性促进的进化循环，不断优化企业的安全运营流程以应对不断变化的安全威胁。
  

OODA 环看起来逻辑清晰，易于操作。但事实上， OODA 环里的丰富化、调查取证、验证、执行安全策略变更等等，都是耗时耗力的工作。加上安全设备一直以来的误报问题产生的噪音，以及安全人员工作负荷重，资深从业人员短缺等原因，难以真正有效的推进 OODA 循环。更不用提在 HW 时段高强度的工作压力下，如何能够有条不紊的保持一贯的处置流程来处理每一个安全线索。SOAR 正是在这个背景下被提出，并被寄予厚望。SOAR 的核心，就是将安全流程或预案，即 OODA 循环的每一个实例，比如蠕虫爆发处理流程、挖矿病毒告警处理流程、疑似钓鱼邮件处理流程等等，数字化管理起来形成 Playbook。用自动化完成其中所有可能自动化的动作，无法自动的仍然交由人来处理，通过可视化编排工具将人、技术和流程有机的结合起来，形成标准统一的、可重复的、更高效的安全运营流程。

四、SOAR的核心功能

从SOAR安全编排自动化响应的字面定义来看SOAR应该具备三大核心能力，编排、自动化、响应

编排

SOAR中的关键词是编排，这是在使用自动化和响应之前必须构建的关键组件。SOAR的编排体现的是一种协调和决策的能力，针对复杂性的安全事件，通过编排将分析过程中各种复杂性分析流程和处理平台进行组合。分析涉及多种数据或平台，如SIEM分析平台、漏洞管理平台、情报数据、资产数据等。处置响应的编排也涉及到很多平台或设备，如EDR管理平台、运维管理平台、工单管理平台、WAF设备、防火墙等。仅仅以技术为中心的安全保障已不再能满足现状，将人员和流程的编排才能保证安全流程真正高效的运行。SOAR的终极目标就是实现技术、流程、人员的无缝编排。

自动化

SOAR的自动化体现在三个方面，面对需要处理的安全事件能够根据策略自动选择编排的剧本、自动执行剧本的操作流程、根据决策结果自动联动设备进行防护阻断等行动策略。它允许剧本（常称为Playbooks）在安全流程的部分或全部内容上执行多个任务，将线性剧本串联起来。虽然线性剧本可能更容易创建，但只适用于处理决策需求较少的工作流。编排和自动化比线性剧本的最大优势就是其灵活性，为支持全自动化和半自动化的决策，需要更加灵活的工作流和执行剧本。SOAR能够识别这些决策模式，并基于以往事件中的执行操作，自动推荐新事件的剧本、执行剧本操作流程，自动化分析决策，根据决策结果自动下发防护阻断的行动策略。

响应

安全事件响应包括告警管理、工单管理、案件管理等功能。告警管理的核心不仅是对告警安全事件的收集、展示和响应，更强调告警分诊和告警调查。只有通过告警分诊和告警调查才能提升告警的质量，减少告警的数量。工单管理适用于中大型的安全运维团队协同化、流程化地进行告警处置与响应，并且确保响应过程可记录、可度量、可考核。案件管理是现代安全事件响应管理的核心能力。案件管理帮助用户对一组相关的告警进行流程化、持续化的调查分析与响应处置，并不断积累该案件相关的痕迹物证 (IOC) 和攻击者的战技过程指标信息 (TTP)。多个案件并行执行，从而持续化地对一系列安全事件进行追踪处置。

事件响应是SOC操作中非常复杂的部分，理想状态下，它将是一个有效的动态过程，涉及数十种相互关联的技术、IT、业务流程和整个组织的人员，将是持续性适应风险和信任评估（Continuous Adaptive Risk and Trust Assessment, CARTA）策略用于在持续监测和可视性方面时，SOC团队可使用SOAR技术执行连续活动，利用SOAR技术通过智能化编排与响应最大程度的将已有安全技术进行整合，提高整个安全事件的解决能力和效率。基于编排和自动化前期对事件的分析，SOAR所提供的响应技术是完善整个事件生命周期，提高解决安全威胁效率的关键一环。本质上，SOAR的最终目标是促进安全团队对事件有全面的、端到端的理解，完成更好、更明智响应。

五、SOAR的价值

1、缩短响应时间
通过自动化技术，尽可能多的自动完成一个安全事件处置流程中相关步骤，从而缩短响应时间即 MTTR。
2、释放人力
让安全专家从繁重的重复劳动中释放出来，将时间放在更有价值的安全分析、威胁猎捕、流程建立等工作上。
3、安全运营流程标准化
将公司的安全运营流程数字化管理起来，每一次安全事件的对应处置过程都在统一标准，统一步骤下执行，有迹可循。避免人员能力的差距导致的处置实际效果不可控。
4、避免能力断层
将安全专家的经验固化成处置预案Playbook，让不同的人都可以遵循同样的方法来完成特定安全事件的处置流程，避免因为个人的离职导致某个领域的安全能力缺失。
5、运营流程指标可度量
因为运营流程都通过 Playbook 数字化管理且每一次的执行过程都记录在案，因此流程的 KPI 如 MTTD、MTTR、TTQ、TTI 等全部可评估、可度量、可追踪。
6、安全运营决策支撑
通过对公司的所有运营流程数字化管理、数字化执行、数字化KPI评估后，管理者可以有效的评估什么流程基本无用，什么流程执行效率不高，什么流程发挥了最大的作用，甚至什么安全设备在所有流程中被使用的价值最大。从而为以后的安全投资决策，安全团队建设决策提供有价值的数值化支撑。

六、SOAR与其他安全产品的关系

SOAR定位于安全运营操作平台，它收集不同来源的安全威胁数据和警报，事件来源于其他的态势感知平台、SIEM、日志分析系统或安全人员人工录入需要处理的事件。通过调用安全设备的能力如：情报平台、资产管理平台、漏洞扫描平台、EDR管理平台、运维管理平台、工单管理平台、WAF设备、防火墙来实现对安全事件的分析、溯源、取证、处置、通知等。一端接安全事件源，一端对接安全设备能力。通过SOAR本身的编排能力将人员、设备、资源、流程协同起来。每个企业部署流程和技术并不相同，SOAR在实际落地应用过程中并不能“即插即用”，需要对接事件源、对接各类联动处置设备，根据企业具体的实际情况定制剧本流程。对接的实际安全设备能力数量以及剧本的积累，是SOAR平台能够很好的支持运营的关键。

作者博客：http://xiejava.ishareread.com/

在这个知识爆炸、学习竞争压力巨大的时代，让父母最焦虑的事情之一，莫过于家里有个厌学的孩子了。为了让孩子好好学习，家长们操碎了心。为了孩子报各种培训辅导班、自己亲自上阵陪同辅导、高价请一对一的家教辅导，就差自己代替孩子去学习了。而孩子依旧是，一写作业就磨蹭、一考试就不会、一上学就无精打彩，一放学就满血复活。为什么学生不喜欢上学？如何让孩子喜欢并更好的学习呢？让我们跟着这本《为什么学生不喜欢上学?》一起来探索学习的秘密。

《为什么学生不喜欢上学?》是一本关于认知心理学的普及读物，也是一本教育心理学的入门书籍。作为美国弗吉尼亚大学心理学教授威林厄姆的重要著作，是一本深受学生和教师欢迎的教育心理学著作。他用认知心理学的原理，详细分析了学生学习的过程和教师在课堂教学中必须注意的一些问题。

作者丹尼尔·T·威林厄姆，哈佛大学心理学博士，美国弗吉尼亚大学心理学教授。主要研究以大脑为基础的学习和记忆及认知心理学的基础教育应用。《美国教育家》杂志《向认知科学家提问》专栏作者。

这本书有着容易被人忽视和低估的名字，实际上它是一本认知心理学和教育心理学的科普著作，长期在美国亚马逊图书榜畅销不衰。在豆瓣评分高达9.3分！

书中主要提出并回答了这些问题：

• 为什么学生不喜欢上学？
• 为什么学生能记住电视里的所有细节，却记不住我们教他的知识？
• 为什么让学生理解抽象概念这么难？
• 题海战术有用吗？
• 科学家是怎样思考的？如何让学生像专家一样思考？
• 如何因材施教？

这本书刷新了很多人对学习的认知，不仅仅适合学生，同样适合处于终生学习时代的你和我。如果你的小学老师能早一点看到，你也就不会讨厌学习了。当然，现在的你看了也同样不晚。不论是教育孩子还是自己，了解了认知学的原理，按照符合科学原理的方法去做，都会让大家的学习更有效率。特别是，本书有许多震撼人心、不符合我们直觉的认知让我们重新去思考如何去更好的学习。

学生为什么不爱学习？

从认知心理学的角度来看，人是充满好奇心的，愿意探索了解一切；也喜欢思考，因为思考就是解决问题，而解决问题能带来愉悦感。比如当你苦苦思索，终于解出了一道难题或者想通了一件事情，你的大脑可能奖励它自己少量的多巴胺，让你恨不得手舞足蹈，瞬间自信心爆棚，觉得自己是世界上最棒的人。这种快乐，跟吃个甜点是完全不一样。学习应该是件很快乐的事情。

既然解决问题也能带来快乐，那为什么还有这么多人不愿意思考，不愿意学习呢？

因为：大脑不是用来思考的！！！

看到这里估计大家会一脸闷逼，大脑不是用来思考的，哪是用来干啥的呢？是的，大脑能做很多事情，但思考并不是它最拿手的，人类不常思考是因为我们的大脑不是用来思考，而是用来避免思考的。思考很费力，而且它还是缓慢、靠不住的。幸运的是尽管我们并不擅长思考，但我们其实喜欢思考，我们生来就有着好奇心，也寻找可以进行思考的机会。但正是因为思考很难，需要条件合适，这份好奇心才能存活，否则我们很快就会放弃思考的念头。好奇心是与生俱来的，但它很脆弱。思考的愉悦感来自解决问题的过程，在一个要解决的问题上毫无进展是不会有愉悦感的，实际上，还会让你沮丧。同样只是知道问题的答案也不会有多大的愉悦感。如何保持好奇心，激发思考的兴趣呢？答案是思考问题的难易程度。太容易的问题不会带来愉悦感，同样太难的问题不但不会带来愉悦感还会带来挫折感让人渐渐的避免思考。

所以：要确保提供给学生的问题是可以解决的。尊重学生的认知局限和个体间的认知差异，难易适中。

根据资料，认知心理学把人类对于外部世界的认识分成了三个区域：舒适区、学习区、恐慌区。其中，“舒适区”是对自己来说没有学习难度的知识，接触这类知识感觉很舒适，但可学到的东西很少，进展缓慢；“学习区”有一定挑战，接触时会感到不适，但又不至于太难受，保持在这个区间学习，可以得到快速成长；“恐慌区”是超出自己能力范围太多的知识，接触会感到忧虑、恐惧，不堪负重以至放弃学习。学习具有适当挑战的东西，一段时间后，“学习区”会慢慢变为“舒适区”， 而一部分的“恐慌区” 又会变成“学习区”。

在舒适区学习，会因为太容易而觉得枯燥，无法坚持；在恐慌区学习，会因为太难好奇心受挫，很快就放弃。所以学习任务要难易适中。要确保在学习过程中碰到的问题可以被解决。

在学习的过程中死记硬背是否合理？

一般大家都会死记硬背的学习方法嗤之以鼻，认为是读死书。然而你错了！有些东西该背的还得背，该记的还得记。事实性知识要先于技能，也就是说如9*9乘法表，元素周期表、历史年代表、一些常识等等，必须得用心记下，这些都是学习的基石。

毫无疑问，让学生记住枯燥的事实是完全不够的，需要进行关联和分析。但是同样，如果没有事实性知识想要凭空让学生拥有分析能力或者归纳能力是不可能的。

因为：
第一，背景知识对阅读理解来说必不可少。它帮我们在单个的要点之间建立起联系。

第二，背景知识对于我们的认知是必要的。一个人看起来在进行逻辑思考，但其实大部分是在进行记忆检索。它使我们能够将独立的元素合成一个单元，进而增加工作记忆的空间。

第三，事实性知识可以增强记忆。如果你对一方面了解的越多，你就越能更好的理解这方面的新知识。

长期记忆中的事实性记忆使得获取更多的事实性知识更容易，它说明持有的信息量取决于已有的信息量。

所以：
我们必须让学生学习背景知识。学生必须学会反复出现的概念–统一所有学科的思想。

知识体系在先，批判性思维在后。批判性思考并不能够脱离背景知识而单独实践以至完善的。
具有浅显知识都比没有知识强。了解的深固然好，但是我们不可能细致地了解每一件事情，泛泛的知识显然比不懂要强。

加强阅读。大量的数据证实，读“闲书”的人一生都因此受益。

偶然获得知识。学习事实性知识可以随时随地的学习如读闲书、翻杂志、看记录片、新闻或者和朋友聊天都可以获得相应的知识。

尽早开始。家庭环境的培养，如父母使用的语言、书籍资源是否可得、家长是否平时看书。等等还有其他一些因素决定了孩子在上学前拥有的知识。

题海战术到底有没有用？

题海战术也是比较有争议的学习方法，现在有一种观点认为，题海战术只对提高考试成绩有帮助，扼杀了学生内在的学习动力，是现行教育下的畸形产物，它带来的弊远大于利。但同时也有教育专家跳出来说，学生必须反复地练习才能学会知识和技能。两者孰是孰非？

在认知学看来，练习是最有效的窍门之一，它减少了大脑活动需要的空间。没有充分的练习，你不可能精通任何脑力活。

为什么要练习？因为通过练习能获得最基本的能力，以期精益求精。如果你作为足球运动员在带球的同时还要思考踢球的角度和速度，你不太可能成为一个优秀的足球运动员。你必须得日复一日的练习。像这样的低层次过程必须不假思索，才能给更高层次的过程，比如战术策略提供足够的空间。类似的，你如果不熟记数据要诀也学不好代数。练习的目的是获得能力和提高能力。

因为：

练习是为了日后更好的学习。通过大量的练习会让一些步骤变得自动化，学习者才能将思考能力提高到下一个层次。让思考过程变得省力，这样才能学得更多。

练习使记忆更长久。努力学习显然不能防止遗忘，但持续地练习可以防止遗忘。

练习促进知识的迁移。重复做很多某一类型的题目使你更容易辨识一个新问题的内在结构，即使你以前没有见过这一题目。

但是，不是每件事情都需要无限度地练习的。

所以：

如果练习可以让思考过程变得省力，我们就要去识别哪些过程需要自动化，总的来说需要自动化的过程往往是自动化后效益能达到最大值的技能的基础。

分散练习时间。没有必要把关于一个概念的所有练习集中在很短的一段时间里完成。分散练习后记忆会更持久。持续不断地练习同一项技能是很无聊的事，最好能有点变化。分散练习的另一个好处是学习者有更多的时间思考如何将学到的东西加以应用。

在进阶环境中练习。自动化需要很多练习，聪明的办法是既分散练习的时间，又分散练习的环境。尽量多的设计有创意的方法来练习最关键的技巧，同时让学习者在更高阶的环境中学到基本技能。

有些孩子天生就不是学习的料？

有些人认为，学习能力是受基因影响，如果你的基因优秀，你就聪明；基因不好，就不聪明。你聪明就可以学得很好。另外一种看法就是认为智能是可以塑造的。如果考试考砸了或不理解某个知识点，不是因为笨，而是因为他们还不够努力。哪一种看法是正确的呢？

答案是：两者都有正确的部分。我们的基因遗传确实对智能有影响，但是通常是通过环境影响的。毫无疑问智能是可以改变的！

孩子智能上的差异可以通过持久的努力来改变。

因为：

对于智能，态度很重要
有充分证据证明，相信智能可以通过努力提高的学生比相信智能是改变不了得事情的学生学得更好，得到的分数更高。
孩子必须知道他的能力决定他所作事情时的成功率，他需要发展对于自己能力的自信，而且还要理解，对于不同类型的任务他拥有不同级别的能力。

所以：

要确保孩子相信自己能够进步，要让他们相信为此所作的努力是值得的。

赞扬努力，而非能力。赞扬过程而不是能力，赞扬孩子面对困难时坚持不懈的精神或对作业负责的态度。

告诉他们一份耕耘一份收获。所有的所谓“天才”都是持续努力的结果。

坦然的接受失败。如果你想提高智能，你需要挑战自己，这表示接受了略高过自己能力的任务，你很有可能第一次就会失败，但失败没有什么大不了的。人生中的一次又一次的失败是成功的原因。
学习技能不是天生的。所有的学习者都要学会自觉、时间分配、足智多谋（如遇到难题时该如何做）。

终身学习，做保持好奇心和探索欲的父母和老师，我们需要更多的智慧。而教育就是将智慧薪火相传的过程，尊重孩子的认知规律，谨慎积极的保持努力和践行。教育使人更聪明，聪明的人可以使教育更美好。

都2021了，在这个移动互联网异常发达，自媒体泛滥的时代，博客这个古老的在互联网时代记录自己的工具似乎是不合时宜要被大众所遗忘被历史所淘汰。而我却还在用博客这种古老的方式生活在移动互联网时代记录工作，学习，生活。

一、为什么要记录
正如我的博客标题，记录最好的自己。最朴实的想法就是想记录自己的所学、所见、所闻、所思、所想。记录使人进步。吴军老师的《全球科技通史》中提到，促进人类文明发展的是两条主线，一条是能源，一条是信息。文字的发明，信息的记录，让人类的文明得以延续和发展。是一代一代人通过信息的记载和积累促进科技的发展，让信息不管是从记录方式还是传播速度都得到了跨越式的发展，进入到了现在信息爆炸的时代。书中提到，为什么在近代早期西方的科学技术进步的速度要明显的快于中国，一个重要的原因就西方对于科学技术的研究及传播方式。西方的研究方式是通过不断的实验大量的记录进行定量研究，后人可以基于前人记录的信息研究成果进行研究和传播，大大加快的科学技术的进步。而那时候中国可能还是定性方式的研究，口口相传的传播方式，导致原来很多技术到现在都失传了。

对于个人来说，我想应该也是一样的，要想更快进步和发展，将自己生活、学习、工作过程中的所学、所见、所闻、所思、所想记录下来定期的回顾和思考应该会有所促进吧。而且随着时间的推移回头看看自己以前记录的东西应该也是一种乐趣。或许，有人看到我所记录的东西以此为鉴少走一点弯路。

不在乎文笔，不限于内容，仅仅只是记录，希望记录能够成就最好的自己。

二、为什么是博客这种方式
记录信息的手段很多，尤其是自媒体时代，微博、微信、头条、抖音、小红书啥的，平台很多。为什么还要用博客这种古老的方式呢？如果自是记录给自己看映象笔记、网易云笔记都是很好的，私密性太强，不够开放。微博、微信社交属性太强关注的都是些熟人。头条、抖音、小红书，功利性太强，为了收益去强迫自己去写也不是自己的初衷。想来想去还只有博客这种古老的方式比较合适，安安静静的自己想记录什么就记录什么。也不用去担心什么流量，不用去关注什么人关注了你。以前几个大的通用的博客平台都不提供服务了如新浪博客、网易博客等，而CSDN、cnblog主要是技术类的博客，想记录点乱七八糟的事情似乎也不太适合。所以只好自己来搭建博客咯。

自己搭建的博客http://xiejava.ishareread.com 已经快两年了。记录的东西不是太多，说明见识不多，思考太少。

安全运维与安全运营是安全人员经常听到的两个名词。到底什么是安全运维，什么是安全运营，两者之间有什么区别和联系呢？

我们先来看一下运维与运营的概念区别。
运维一般来说指的是运行维护，通过一定的技术和管理手段保障平台或系统的正常运行。本质上是对平台、系统或产品所涉及的网络、服务器、服务的生命周期各个阶段的运营与维护，在成本、稳定性、效率上达成一致可接受的状态。

运营从字面上理解更多的是指经营。通过对平台、系统或产品的经营达到预期的业务目标。对运营过程的计划、组织、实施和控制，是与产品生产和服务创造密切相关的各项管理工作的总称。从另一个角度来讲，运营管理也可以指为对生产和提供公司主要的产品和服务的系统进行设计、运行、评价和改进的管理工作。

总体来说运营应该是覆盖运维的，运维是支持运营的。那么安全运维和安全运营，应该也是同样的道理。

网上有人进行了概括：

安全运维简单来说，就是从安全的角度对日常IT信息系统进行运行维护，传统运维工作主要是为了保障信息系统的正常运行，安全运维则是通过安全分析，检测和解决已经产生和即将产生的安全问题，从而建立从防护到监测到解决的闭环安全机制管理系统，实现运维的目的——保障企业整体IT系统运行正常。

安全运营应该来说概念更广，狭义的安全运营是为以资产为核心，以安全事件管理为关键流程，依托于安全运营平台（SOC），建立一套实时的资产风险模型，进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理体系。广义安全运营是一个技术、流程和人有机结合的复杂的系统工程，通过对已有的安全产品、工具、服务产出的数据进行有效的分析，持续输出价值，解决安全风险，从而实现安全的最终目标。

个人认为运维更多的强调流程，运营更多的强调体系。

作者博客：http://xiejava.ishareread.com/

​
网络信息安全管理是指对网络资产采取合适的安全措施，以确保网络资产的可用性、完整性、可控制性和抗抵赖性，不致因网络设备、网络通信协议、网络服务、网络管理受到人为和自然因素的危害，而导致网络中断、信息泄露或破坏。网络信息管理对象主要包括网络设备、网络通信协议、网络操作系统、网络服务、安全网络管理等在内的所有支持网络系统运行的软、硬件总和。网络信息安全管理的目标就是通过适当的安全防范措施，保障网络的运行安全和信息安全，满足网上业务开展的安全要求。

网络信息安全管理要素由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。由于网络管理对象自身的脆弱性，使得威胁的发生成为可能，从而造成了不同的影响，形成了风险。网络安全管理实际上就是风险控制，其基本过程是通过网络管理对象的威胁和脆弱性进行分析，确定网络管理对象的价值、网络管理对象威胁发生的可能性、网络管理对象的脆弱程度，从而确定网络管理对象的风险等级，然后据此选取合适的安全保护措施，降低网络管理对象的风险。

安全风险管理的三要素分别是资产、威胁和脆弱性，脆弱性的存在将会导致风险，而威胁主体利用脆弱性产生风险。网络攻击主要利用了系统的脆弱性。由于网络管理对象自身的脆弱性，使得威胁的发生成为可能，从而造成了不同的影响，形成了风险。

网络信息安全管理对象是企业、机构直接赋予了价值而需要保护的资产。它的存在形式包括有形的和无形的，如网络设备硬件、软件文档是有形的，而服务质量、网络带宽是无形的。

常见的网络信息安全管理对象信息安全资产分类如下：

脆弱性：脆弱性也可称为弱点或漏洞，是资产或资产组中存在的可能被威胁利用造成损害的薄弱环节。脆弱性一旦被威胁成功利用就可能对资产造成损害。脆弱性可能存在于物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各个方面。

脆弱性是与资产紧密相连的，是其固有的属性，客观存在是绝对的，但存在脆弱性不一定就绝对造成安全事件。如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成伤害。

威胁源分三类：自然威胁、人为威胁和环境威胁。

在这里可以看出威胁与攻击的区别和关系。攻击是威胁的一种类型，攻击是人为的蓄意的有计划采取的恶意破坏的行动。一般来说攻击比较容易检测到。

网络信息安全风险是指特定的威胁利用网络管理对象所存在的脆弱性，导致网络管理对象的价值受到损害或丢失的可能性。简单的说，网络安全风险就是网络威胁发生的概率和所造成影响的乘积。

本文整理自《信息安全工程师教程第2版》

作者博客：http://xiejava.ishareread.com/

​

初识威胁情报

随着网络空间的广度和深度不断拓展，当今网络攻击的多样化、复杂化、专业化，安全对抗日趋激烈，传统的安全思维模式和安全技术已经无法有效满足政企客户安全防护的需要，新的安全理念、新的安全技术不断涌现。业界普遍认同：仅仅防御是不够的，更加需要持续地检测与响应。而要做到更有效的检测与更快速的响应，安全情报必不可少。有效的威胁情报可以提高安全产品的对恶意攻击识别能力，提高溯源效率，并及时采取应对措施，减少甚至消除攻击的危害。

本文收集了互联网上的威胁情报的相关知识信息，试图从威胁情报的定义、分类、应用三个方面对威胁情报进行初步的认识。

一、什么是威胁情报

安全情报包含漏洞、资产、威胁、风险、运行和事件等多维度安全知识在内的知识集合。安全情报是一个宽泛的概念，主要包括了威胁情报、漏洞情报、事件情报以及基础数据情报。

根据Gartner对威胁情报的定义，威胁情报是一种基于证据的知识，包括了情境、机制、指标、影响和操作建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种响应。简单来说威胁情报是可以针对相关威胁采取行动的知识，可以帮助企业和组织快速了解到敌对方对自己的威胁信息，从而帮助他们提前做好威胁防范、更快速地进行攻击检测与响应、更高效地进行事后攻击溯源。

从严格意义上来讲，威胁情报和漏洞情报是不同的两种安全情报，不应该将它们混淆。从防御者的角度来看，获取漏洞情报是为了知己，而获取威胁情报是为了知彼。

二、威胁情报分类

根据使用方法不同，威胁情报可分为三类

战略情报
包括安全调查报告、趋势分析、行业状况等战略层面的情报，可供企业CISO或安全负责人制定安全规划和投资策略，将有限的资源投入到最需要的地方。

技术情报
包括各种威胁的丰富化情报，以及相关信息。通过攻击事件相关的IP和域名的详细信息，以及攻击者相关的攻击事件及样本，安全分析师可以对重要安全事件做准确的分析，包括报警确认、攻击影响范围、攻击链以及攻击目的、技战方法等，并进行相应的安全预测和防范。

战术情报
包括各种面向安全设备或系统的，易于执行的高可信度威胁IOC (Indicator of Compromise)。安全运营团队利用高质量的威胁IOC可帮忙安全系统自动检测未知威胁，及早产生预警和通知，快速响应恶意攻击，提高企业安全防护能力。

根据数据本身威胁情报可以分为HASH值、IP地址、域名、网络或主机特征、TTPs（Tactics、Techniques & Procedures，工具、技术、过程）等

HASH值：一般指样本、文件的HASH值，比如MD5和SHA系列。由于HASH函数的雪崩效应，文件任何微弱地改变，都会导致产生一个完全不同也不相关的哈希值。这使得在很多情况下，它变得不值得跟踪，所以它带来的防御效果也是最低的。

​​IP地址：常见的指标之一，通过IP的访问控制可以抵御很多常见的攻击，但是又因为IP数量太大，任何攻击者均可以尝试更改IP地址，以绕过访问控制。

​​域名：有些攻击类型或攻击手法也或者出于隐藏的目的，攻击者会通过域名连接外部服务器进行间接通信，由于域名需要购买、注册、与服务器绑定等操作使得它的成本相对IP是比较高的，对域名的把控产生的防御效果也是较好的。但是对于高级APT攻击或大规模的团伙攻击，往往会准备大量备用域名，所以它的限制作用也是有限。

​​网络或主机特征：这里指的特征可以是很多方面，比如攻击者浏览器的User-Agent、登录的用户名、访问的频率等，这些特征就是一种对攻击者的描述，这些情报数据可以很好的将攻击流量从其他的流量中提取出来，就会产生一种较好的防御效果。

​​攻击工具：这里是指获取或检测到了攻击者使用的工具，这种基于工具的情报数据能够使得一批攻击失效，攻击者不得不进行免杀或重写工具，这就达到了增加攻击成本的目的。

​​TTPs：Tactics、Techniques & Procedures的缩写，指攻击者所使用的攻击策略、手法等，掌握了些信息就能明白攻击者所利用的具体漏洞，就能够针对性的布防，使得攻击者不得不寻找新的漏洞，所以这也是价值最高的情报数据。

从应用领域分类可以分为，机读情报（MRTI）、人读情报（PRTI）、画像情报和知识情报四类

机读情报：可供机器理解和使用的情报，侧重于高频次、高准确性、强实效的应用场景。
人读情报：信息量更大，需要更多的上下文、背景信息支持人工分析研判和应急响应。
画像情报：针对单一的威胁、资产、漏洞、事件进行分析，形成相应的知识集，概念上类似于用户画像。
知识情报：基于先验知识的规则模型和算法。这些模型和算法与平台之间高度匹配，可以快速导入平台，结合平台获得的各类数据、信息和情报，实现对某类特定类别的威胁、风险或特定事件的感知、分析、决策和处置。消费对象和应用场景集中于态势感知、SOC/SIEM类分析平台。

其中机读情报应用最广，基本已经被各大安全厂商在设备中集成，多以IoC或者Yara的形式存储。人读情报的格式比较宽泛，包括安全公告、漏洞预警、病毒/APT分析文章都属于这个类别。画像情报则是介于机读和人读情报中的一种，通常用结构化的标签和非结构化的备注来描述，针对单一的威胁、资产、漏洞、事件进行分析形成的知识集，也可以加入场景标注。而知识情报的提法主要是针对态势感知、SOC、SIEM类平台产品的，平台内置的先验规则如关联规则和知识图谱都属于这一类。

从情报市场来源来分可分为开源情报（OSINT）、商用情报

开源情报：Open Source Threat Intelligence 开源情报，免费从公开信息来源进行数据采集和分析后形成的情报。
商用情报：Commercial Threat Intelligence 商业情报，在威胁情报领域，根据用户需求提供的付费情报。一般来说付费的准确度要稍高。

三、威胁情报有什么用

溯源分析
威胁情报记录了外部攻击的大量信息，可以让安全分析师了解攻击方的情报，解决攻防战中信息不对称的困境。特别是在分析告警、进行溯源分析时，往往会在威胁情报系统中查询相关攻击 IP、Domain 等的具体信息，看看有没有攻击线索和方式，可以用作告警确认和进一步处理的依据。

检测告警
数字化时代的黑客的攻击也逐渐自动化、智能化，每天企业都会受到大量的外部攻击，依靠人去一个个分辨是不现实的，企业往往部署了可以对外部流量或外部日志进行自动化分辨的安全设备和系统，比如 FW 、 IDPS 、 SIEM 或大数据安全分析平台。如果将最新的威胁情报传输到这些 安全设备和系统中，就可以极大的提高这些设备系统对新型攻击的检测能力。
情报厂商往往将这些有价值的情报以IOC 的形式发布出来，用户可以将这些 IOC 导入到部署的安全设备系统中，从而可以快速实现对新型威胁攻击的识别、告警和处理。

安全预防
防守不是最好的策略，在如今企业每日都面对各式各样的网络攻击，单纯的被动防守已经无法阻挡黑客的攻击。如果能预知攻击并提前预防就可以减小不少攻击的损失。
通过漏洞情报可以在攻击到来之前获悉攻击的信息，事先做好准备，修复相关漏洞，加强安全防护，避免威胁攻击带来的危害。

安全规划
安全工作是一个系统性的工程，需要方方面面的知识和信息。为了做好安全规则，需要了解威胁攻击的总体现状和未来发展趋势，同时还要提供相关信息用以说明管理层提供相关投资。高级威胁情报信息可以帮助安全团队领导了解威胁攻击的状况以及预测，方便企业制定好相应安全规划和投资。

实用的情报才是最好的情报
情报的“ART”原则，符合“ART”原则的才是对企业有用的情报。
Accuracy（准确性）：情报是否足够详细和可靠
威胁情报的作用是为安全团队提供相关信息并指导决策，如果情报不准确，不但没有产生价值，反而会对组织的安全决策会造成负面影响。
Relevance（相关性）：情报是否可适用于你的业务或行业
不是所有的信息都是适用的，相关性较弱的情报会导致分析人员的繁重任务，并且会导致其他有效情报的时效性失效。
Timeliness（时效性）：在你利用些情报前，情报是否已经失效
威胁情报是信息的集合，凡是信息，都具有时效性。往往情报的有效时间会很短，攻击者会为了隐藏自己的踪迹不断的更换一些特征信息，比如说IP地址、手法等等。

威胁情报要发挥价值，核心在于情报信息的共享。只有建立起一套威胁情报共享的机制，让有价值的威胁情报流动起来，才能真正加速安全防御的效率、效能，取得切实的防御效果。
威胁情报的生态系统包括两个方面：威胁情报的生产和威胁情报的消费。
威胁情报的生产就是通过对原始数据/样本的采集、交换、分析、追踪，产生和共享有价值的威胁情报信息的过程。
威胁情报的消费是指将企业和客户网络中的安全数据与威胁情报进行比对、验证，以及企业和客户方的安全分析师利用威胁情报进行分析的过程。
威胁情报的生产和消费构成了一个情报生态系统的闭环。只有生产没有消费，威胁情报的价值无法实现；而只有消费没有生产，威胁情报就成了无源之水。

对于政企客户而言，威胁情报的应用/消费是实现情报价值的关键。各类安全设备都应该能够消费威胁情报，但最关键的是安全管理平台/SOC对威胁情报的应用

博客地址：http://xiejava.ishareread.com/