2026-03-03 05:38:33 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档介绍CAF框架目标C中C1安全监控原理，涵盖监控策略制定、日志收集与聚合、威胁情报应用、监测分析工具选择、治理流程及人员技能要求等核心内容。提出基于特征码与异常行为的双重检测方法，明确日志安全保护要求，提供从日志源到警报分流的完整评估指标体系，对构建有效安全监控能力具有实践指导价值。 综合评分： 85 文章分类： 安全运营,安全建设,技术标准,解决方案,威胁情报

cover_image

CAF目标C——C1原理安全监控

原创

铸盾安全铸盾安全

河南等级保护测评

2026年2月26日 00:00 河南

CAF目标C——检测网络安全事件：

具备确保安全防御有效的能力，并检测影响或可能影响关键功能的网络安全事件。

原理：C1 安全监控

#

该组织监控支持关键功能运行的网络和信息系统的安全状态，以检测指向安全事件的安全事件。

阅读原则C1安全监控

原则：C2威胁猎杀

#

组织主动寻求在网络和信息系统中检测影响或可能影响关键功能的不利活动，即使该活动规避了标准安全、防止/检测解决方案（或标准解决方案无法部署）。

阅读C2原则：威胁狩猎

具备确保安全防御有效的能力，并检测对关键功能产生不利影响或可能产生不利影响的网络安全事件和事件。

原理

该组织监控支持关键功能运行的网络和信息系统的安全状态，以检测指向安全事件的安全事件。

描述

需要有效的监控策略，以便发现潜在的安全事件，并建立适当的流程协助应对。良好的监控不仅仅是收集日志。同时，还应使用适当的工具和专业的分析方法，及时识别泄露迹象，从而采取适当行动。

指导

安全监控的一个明确重点应是检测可能对支持关键功能运行的网络和信息系统产生不利影响的事件或活动。日志数据收集、安全存储、分析工具、理解支持你核心功能的网络和信息系统、威胁情报和人员技能，都应用于构建有效的安全监控能力。

特征与行为及基于异常的检测。

组织的自动化监控能力应能够通过基于特征码的检测以及基于行为和异常的检测，发现其网络和信息系统中的威胁。

基于签名的检测示例包括检测已知的命令与控制流量是否向互联网通信，或文件中存在杀毒签名。组织应努力了解自动化检测和警报的作用及最佳使用方法，以确保最大化监控解决方案的使用效率。

组织还应具备通过行为和异常检测来发现威胁的能力，例如检测异常大量数据被窃取，或杀毒软件检测启动注册表密钥的异常变化。

无论是特征检测，还是异常和基于行为的检测，都依赖于对入侵迹象、网络和信息系统、用户行为及威胁的理解。

日志收集与聚合

对系统和用户的正确可视性对于检测潜在的不良活动至关重要。通过收集、汇总和分析适当的日志，可以在早期发现不良活动。以下是一些日志来源的非详尽列表，以及你可能想考虑寻找的对象：

网站流量，进出互联网。至少应包括域名、URL和IP地址，但如适当，应扩展至完整的头部信息。监控这些流量有助于识别威胁，例如恶意软件信标、未经授权的访问尝试，甚至潜在的拒绝服务攻击。

邮件流量。至少要包含发送和接收内容的元数据，但如果可以同时捕获头部和内容，那就考虑这么做。通过电子邮件进行的钓鱼攻击，常常诱使用户点击链接、下载附件或执行其他不受欢迎的行为。结合网页流量，获取电子邮件信息的可见性，如链接、发件人地址、信誉和附件，有助于检测和后续分析。

你的网络与其他网络之间的IP连接，包括互联网。监控异常高的出站数据量非常有用，尤其是对未知或不可信IP地址的访问。
网络中安全区之间的IP连接。至少，从关键区域边界（如安全区域接口）捕获五元组元数据非常重要。这些IP流量很可能包含网络和信息系统中不良活动的证据，因此应采取检测策略来识别这些入侵的迹象。
宿主活动。基于主机的监控系统可以检测计算机系统本身的未授权活动（例如用户或软件系统的异常或未经授权的活动），这些活动可能规避专注于网络接口的系统检测。
与系统正常交互的偏差（例如用户在正常工作时间外的活动）以及网络流量的异常模式（例如意外的高流量量或意外类型的流量等）。

你的日志集合应记录普通用户和特权用户在不同系统层（如应用和作系统）的活动。这有助于识别不良活动。

日志记录的持续时间和程度是一项业务决策，需要在风险、受损系统的影响、监管要求等之间取得平衡，同时检测潜在不良活动，并在事件发生期间（及之后）事后查询数据。考虑你可能需要遵守任何关于收集信息的法律数据保护法律。

审计和日志数据应通过访问控制安全保存，限制授权人员和有业务需求的系统访问，并适当保护（例如与较不信任的域名隔离）。这很重要，因为它能降低攻击者访问、删除或修改日志的可能性。

贵组织的资产管理流程应确保对网络和信息系统的了解足够详细且准确，从而快速高效地追踪观察到的事件源。

监测与分析工具

收集的日志应与正常活动的特征和基线进行比较，以检测异常行为，表明不良活动。

你应选择合适的工具，帮助分析和关联结构和归一化的不同网络数据集，以识别和调查潜在的安全事件。这些工具应选择以最佳方式扩展并使用您预期分析的日志数据类型，以及您现有的分析、分流和调查工作流程。您的监控和检测人员应接受适当的培训，使用这些工具和数据。

考虑所用工具的灵活性，因为你不希望阻止分析师主动发现未知威胁（如CAF原则C2所述）。避免购买不支持灵活查询或结果不说明相应理由的黑箱工具。

理解系统的行为与威胁情报

对网络行为的正确理解以及支持你核心功能的信息系统，以及相关且准确的威胁情报，是任何安全监控能力的关键要求。

能够判断“正常”或“预期”的表现，是识别不良活动异常的基础步骤。识别行为，比如哪些网络、系统和用户应该交换流量，应交换多少流量，以及它们在一段时间内的活动，可以帮助你构建什么是“正常”或“预期”的图景。

以下领域可以帮助您识别“正常”或“预期”行为——资产管理、已识别和理解的数据流、已知的角色和职责、批准和理解的流程与程序、识别“正常”或“预期”行为的基线，以及监测和检测人员对关键职能的知识。

仅仅因为某样东西看起来异常，并不意味着这就是不良活动的信号。你对系统行为的理解应与你对威胁（威胁情报）的理解结合起来，即使这只是从非常高层次的角度判断，以判断所识别事件是否值得进一步调查。

威胁情报可以有多种形式、体积和质量。它可以从公开讨论论坛、可信赖关系、与威胁情报公司签订的付费合同中收集，也可以在内部生成。

威胁情报可以是描述攻破指标的自动化信息流，也可以是更具描述性的人类可读报告。你很可能需要消耗各种类型的威胁情报（如战略性、运营性和战术性），包括内部和外部生产的。

我们建议选择自动化威胁情报源时，应优先考虑质量而非数量（误报可能占用分析师的时间），并确保这些信息流能被你选择的分析平台自动接收，并在适当时向必要用户开放。

治理、角色与工作流程

您的监控和检测团队应包括涵盖安全和韧性相关监控的职责和职责。

这些团队的规模和结构因组织而异，但应包括熟悉网络、其硬件和软件、他们处理和产生的数据类型和活动的人。团队还应包括能够利用威胁情报识别、调查和分流安全事件的人员，以及了解组织业务、能够评估安全事件在潜在危害方面的重要性的管理者，例如扰乱运营或泄露敏感企业或个人数据。

您的监控能力应与事件管理（参见CAF目标D）无缝协作，知道何时以及如何提醒或升级事件，以及如何向必要的个人和团队分享正确的信息。监控和事件管理甚至可能包含部分相同的人员。

定期审查与更新

你的监控策略和能力应随着业务需求、网络和系统不断演进。也就是说，随着系统的发展（例如新系统、网络或软件版本），监控能力会被更新，以确保支持你基本功能的网络和信息系统得到覆盖。你的能力也应随着威胁的变化而不断进化，以应对需要应对的威胁。

你的工具应当可配置和调整，以应对新数据集，监控和检测人员也应能应对这些变化。新系统应设计为产生日志数据，以便在投入运行前实现适当监控水平。

C1.a 日志与监控的源代码与工具

你在日志和监控中包含的数据源，能够及时识别可能对支持你核心功能运行的网络和信息系统弹性产生不利影响的事件。

| 未达成 | 部分实现 | 已达成 | | — | — | — | | 以下至少有一个命题是正确的： | 以下所有陈述均为真： | 以下所有陈述均为真： | | 不收集支持您基本功能的网络和信息系统安全性与运行的数据。您无法审计用户和系统在支持您基本功能的网络和信息系统中的活动。你不会监控越过网络边界的流量。日志数据无法使用准确的共同时间源进行同步。日志存储在授权用户和系统难以访问的位置。你的监控工具无法配置为利用新日志流上线时的使用。你的监控工具只能利用所收集日志数据的一小部分。你不了解日志数据存储在哪里，也不了解它们应该存储多久。你无法确保日志数据按预期被捕获并在需要时可用。 | 会收集与支持您基本功能的某些网络和信息系统安全及运行相关的数据，但覆盖范围并不全面。虽然会进行一些用户和系统监控，但并未涵盖完全公认的可疑或不良行为清单。你监控越过网络边界的流量（至少包括IP地址连接）。部分但并非全部日志数据集可以通过搜索工具轻松查询，以辅助调查。你的监控工具能处理大多数日志数据，并进行一些配置。你的监控工具可以利用日志数据，捕捉所有常见威胁。你确保日志数据在需要时可供分析。 | 监控基于对支持你核心功能、威胁行为者使用的网络和信息系统、技术的深入了解，以及对检测可能影响你核心功能运行的事件和事件所需的日志和监控的认识。您的监控数据提供了足够的细节，能够及时可靠地检测安全事件、事件并支持调查。该系统会定期审查，并在重大安全事件后进行。对支持您核心功能的网络和信息系统的用户和系统活动进行广泛监控，使您能够及时发现策略违规、可疑或不良的用户及系统行为、偏离正常/常规行为或异常异常。您的日志和监控能力包括主机和网络监控。所有支持您基本功能的新型网络和信息系统都被视为潜在的日志和监控数据源，以维持全面的监控能力。日志数据集会同步，包括使用准确的共同时间源，以便以适当方式关联不同数据集。你用其他网络和信息系统数据丰富日志数据，以提供更全面的行为和行为图景。你的监控工具利用日志数据来定位活动。您定期审查日志和监控策略中包含的数据源和工具，以确保其有效。 |

C1.b 日志安全

您可以安全地保存日志数据，并仅授予有业务需求的账户适当的用户和系统访问权限。日志数据会被保留一段合适的保存期，之后会被删除。

| 未达成 | 部分实现 | 已达成 | | — | — | — | | 以下至少有一项是真的： | 以下所有陈述均为真： | 以下所有陈述均为真： | | 日志数据有可能被未经授权的用户或恶意攻击者轻易编辑或删除。没有一个受控的用户列表，以及可以查看和查询日志数据的系统。日志数据访问没有监控。没有针对日志数据访问的策略。 | 只有授权用户和系统才能访问日志数据。对日志数据的访问进行一定监控（例如复制、删除或修改，甚至查看）。你已经定义并实现了日志数据的保留期。你在保单中给出了访问日志数据的正当理由。 | 日志数据的适当访问仅限于有业务需求的用户和系统。日志架构拥有机制、策略、流程和程序，确保能够保护自己免受与其试图识别的威胁相当的威胁。这包括保护函数本身及其中的数据。日志数据分析和规范化仅对日志数据的副本进行，保持主副本不被更改。所有涉及日志数据的作（如复制、删除、修改甚至查看）都可以追溯到某个独特的用户或系统。日志数据的完整性受到保护和验证，任何修改（包括删除）都会被检测并归因。 |

C1.c 生成警报

监控数据中潜在安全事件的证据会被可靠识别，并在适当情况下触发警报。

| 未达成 | 部分实现 | 已达成 | | — | — | — | | 以下至少有一项是真的： | 以下所有陈述均为真： | 以下所有陈述均为真： | | 你没有及时为检测安全技术应用更新（例如防毒签名更新、其他威胁签名或入侵指标（IoCs））。与支持你基本功能相关的网络和信息系统安全警报不会被优先处理。在支持你基本功能的网络和信息系统中丰富安全警报是无法实现的。你无法自信地检测到支持你核心功能的网络和信息系统中存在的IoC，比如已知的恶意命令和控制签名（例如，因为应用该指示器困难或日志数据不够详细）。你不会监测用户或系统异常，以防不良活动。日志监控频率较低。 | 你可以轻松检测到支持你核心功能的网络和信息系统中存在的入侵迹象（IoC），比如已知的恶意指挥和控制签名。你需要及时应用一些更新、新的签名和IoC。与支持你基本功能的网络和信息系统相关的安全警报会被优先设置。在支持你基本功能的网络和信息系统中丰富警报是进行的，但不是作为原始警报的一部分。检测和警报依赖现成工具，无需定制或用户报告事件和潜在事件。所有支持关键功能运行的用户都有文档和共享流程，用于报告事件和潜在安全事件。在适当情况下，检测和警报会自动采取行动。（例如，被杀毒软件识别的恶意软件会被隔离）。你不定期监测用户或系统异常，以防出现不良活动。日志会定期监控。 | 你可以轻松检测到支持你基本功能的网络和信息系统中存在入侵迹象（IoCs），比如已知的恶意指挥和控制签名，以及异常或显示不良活动的行为。你会及时应用所有更新、新签名和IoC。所有支持您基本功能的网络和信息系统的安全警报都会被优先设置，这些信息用于支持事件管理。警报会定期在支持你基本功能的网络和信息系统中得到丰富。这些警报的丰富化几乎是实时进行的，并且是原始警报的一部分。警报及其底层检测会定期审查和测试，以确保其迅速且可靠地生成，从而能够区分真正的安全事件和虚报。警报和底层检测规则可定制和调整，以减少误报并优化响应。检测和警报可能使用现成工具和规则，也可以使用定制工具和/或规则。你持续监控用户和系统异常，这些异常表明存在不良活动，并根据监测结果发出警报。日志几乎实时持续监控。 |

安全警报的C1.d分流

你通过了解威胁和系统来为警报提供上下文，以识别安全事件并对所有警报做出恰当回应。

| 未达成 | 部分实现 | 已达成 | | — | — | — | | 以下至少有一项是真的： | 以下所有陈述均为真： | 以下所有陈述均为真： | | 你不会从检测安全技术（例如杀毒软件、IDS）中对警报进行分流。你不会根据类型、优先级/严重程度来分类警报和事件。你没有标准作程序（SOP）/作手册/运行手册可供分诊时使用。你不会保存分诊的记录。你对正常用户或系统行为的理解不足，无法在分诊中做出有效决策。 | 你会调查并分流一些安全工具的警报，并采取行动。您已创建、提供并在适当时使用涵盖最常见用例的标准作程序（SOP）/作手册/运行手册。这些措施会定期审查，以确保其有效性。你会进行一些分诊，监控和检测人员的作也会被记录下来。你会根据类型和优先级/严重程度对警报和事件进行分类。你对正常用户或系统行为的理解，将帮助你在分诊中的决策。 | 你会调查并分流所有安全工具的警报，并采取行动。你已经创建、提供并在适当时使用涵盖所有合理用例的标准作程序（SOP）/作手册/运行手册。这些措施会定期审查，以确保其有效性。你会根据类型和优先级/严重程度对警报和事件进行分类。你记录监控和检测人员执行的所有与分诊相关的活动，这些活动被用来推动改进分诊提供足够的信息，使后续活动被优先排序（例如遏制有害恶意软件）。你对正常用户和系统行为及威胁的理解，足以在分诊中做出有效决策。 |

C1.e 监控工具与检测人员技能

监控和检测人员的技能和角色，包括外包人员，反映了治理和报告要求、预期威胁以及他们需要使用的网络或系统数据的复杂性。监控和探测人员对网络和信息系统以及他们需要保护的关键功能有足够的了解。

| 未达成 | 部分实现 | 已达成 | | — | — | — | | 以下至少有一项是真的： | 以下所有陈述均为真： | 以下所有陈述均为真： | | 没有人员执行监控和检测功能。监控和探测人员缺乏正确的专业技能。监控和检测人员无法根据治理要求进行报告。监控和检测人员缺乏对组织所提供的核心职能、与这些功能相关的资产的认知，因此日志数据和安全事件的重要性。监控和检测人员对安全监控和检测之外的其他角色或任务一无所知，这些任务与你的核心职能运作密切相关。监控和检测人员面对大量数据和警报，感到不堪重负。警报/分诊疲劳存在。 | 监控和侦测人员具备一定的调查技能，并对所需数据有基本理解。监控和检测人员可以向组织的其他部门（如安全主管、韧性经理）汇报。监控和检测人员能够遵循大多数必要的工作流程。监控和检测人员了解部分网络和信息系统以及您的基本职能，并能管理与之相关的警报。监控和检测人员对运营环境有一定了解（例如支持你基本职能的人员、流程、网络和信息系统），以增强安全监控功能。监控和侦查人员能够有效处理他们的工作量和案件。 | 你有监控和检测人员，负责主动和被动分析、调查及报告监控警报，包括安全和性能。监控和侦测人员有明确的职责和技能，涵盖监控和调查流程的所有环节。监控和检测人员遵循涵盖所有治理报告要求的政策、流程和程序，涵盖内部和外部。监控和检测人员有权超越固定流程，调查和理解非标准威胁。监控和检测人员了解网络和信息系统及其核心功能、相关资产，能够识别和优先处理与之相关的警报和调查。监控和检测人员推动并塑造新的日志数据收集，并能有效利用这些数据。监控和检测人员能够遵循所有必要的工作流程。监控和检测人员对运营环境（例如支持你核心职能的人员、流程、网络和信息系统）有足够的理解，从而增强安全监控功能。监控和侦查人员能够有效处理工作量和案件，并识别改进空间。 |

C1.f 理解用户和系统的行为，以及威胁情报（安全监控内）

对网络和信息系统运行的威胁，以及相应的用户和系统行为，已经被充分理解。这些设备用于检测网络安全事件。

| 未达成 | 部分实现 | 已达成 | | — | — | — | | 以下至少有一项是真的： | 以下所有陈述均为真： | 以下所有陈述均为真： | | 你们组织没有威胁情报来源。你不会评估威胁情报的有用性，也不会与供应商或其他用户分享反馈。你对如何充分利用威胁情报进行安全监控一无所知。威胁情报不可靠，且/或未被相关用户或系统及时处理。你还没有明确的理解，不知道应该观察哪些异常，这些异常可能意味着不良活动。你不会收到所有检测安全技术（如杀毒、IDS）的更新。你对正常用户和系统行为的了解不足，无法利用异常来检测不良活动。 | 你知道你的威胁情报有多有效（例如通过跟踪威胁情报如何帮助你识别安全事件）。你的组织可能会使用威胁情报服务，但你不一定会因为业务需求或行业内的特定威胁（例如基于行业的信息共享、软件供应商、杀毒软件提供商、专业威胁情报公司、特殊利益团体）而选择来源或供应商。用户和系统异常，来自过去攻击和威胁情报，关于你的以及其他网络和信息系统，用于指示不良活动。你会定期收到所有检测安全技术（如杀毒、IDS）的更新。 | 你跟踪威胁情报的有效性，并积极与威胁社区（如行业合作伙伴、威胁情报提供商、政府机构）分享关于攻破指标（IoC）及其他情报实用性的反馈。使用威胁情报源时，这些信息源是基于基于风险和威胁知情决策，基于您的业务需求和行业进行的。你能及时向相关用户和系统提供相关、可靠且可作的威胁情报。你将威胁情报置于背景中，并将其与攻击发生的原因和/或方式联系起来，用于安全监控。你完全理解正常的用户和系统异常，以至于搜索系统异常是检测不良活动的有效方法（例如，你完全理解哪些系统应该、哪些不应该以及何时通信）。您监控的用户和系统异常基于可能影响支持您基本功能运行的网络和信息系统的不良活动性质。你所使用的不良活动的用户和系统异常会定期更新，以反映支持你核心功能和当前威胁情报的网络和信息系统的变化。在需要时，你具备与威胁社区/防御方社区（行业合作伙伴、威胁情报提供商、政府机构）共享威胁情报（例如有效检测对手的方法）的能力。 |

附加信息

NCSC指导

安全日志介绍
建设安全运营中心（SOC）
网络安全的10步——日志与监控
设备安全指导——日志记录与保护监控

外部资源
RITICS 为什么你需要在ICS/OT环境中进行网络安全日志和监控
RITICS ICS / OT 日志与监控
NIST SP 800-82
NIST标准800-137
NIST标准800-94
IEC 62443-3-3
IEC 62443-2-1
ISO/IEC 27001
CISA识别并缓解依赖土地生活的技术
MITRE 11 世界级网络安全运营中心的战略

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评铸盾安全铸盾安全《CAF目标C——C1原理安全监控》