充分应用行为分析（NBA）工具

核心提示： Stewart举了一个例子：NBA发现了“企图但未遂的”远程访问活动，并发现了对方是谁、在哪台计算机上实施企图，充分应用行为分析（NBA）工具(2)，而之前AirTran无法了解这些信息，弗雷斯特研究公司的首席分析师Paul Stamp分析道，其高级产品营销经理Er

Stewart举了一个例子：NBA发现了“企图但未遂的”远程访问活动，并发现了对方是谁、在哪台计算机上实施企图，而之前AirTran无法了解这些信息。

弗雷斯特研究公司的首席分析师Paul Stamp分析道，全面了解情况让客户可以在问题变得严重之前抢先行动。能证明NBA具有高效率的几个典型案例包括: 它能发现通常很难发现的行为，比如偷偷潜入的蠕虫、操作人员的配置错误和恶意的内部攻击。

“部署了防火墙、合适地调整分析及补救流程后，识别安全威胁的工作交给了NBA工具。有了NBA技术，用户就能比较清楚地了解‘正常行为’；如果出现‘异常行为’，它也会通知用户。”Stamp说。

虽然NBA工具通常首先是为了安全或者遵从法规而部署的，但人们同时发现，这类产品还能让IT人员更有效地控制应用性能。从某种意义上来说，NBA产品正开始变成高级的网络管理工具。

Q1 Labs公司是一家提供NBA产品的公司，其营销副总裁Tom Turner说：“了解应用情况是我们的产品QRadar与众不同的一个特点。QRadar最初是一款专业的NBA产品，使用网络流为网络和安全操作人员提供可见性。但后来我们渐渐认识到，我们用来收集、存储、处理及分析网络流数据的架构同样有助于运用到日志和事件数据的分析中。”

Q1 Labs已推出了QRadar的第5个版本，它实际上将安全信息管理（SIM）与NBA融为一体。该产品把来自网络流的上下文信息运用到来自安全设备的事件流，最终生成的结果明确列出了优先次序、准确的数据，而这些数据对安全和网络操作人员来说都很有用。

同样，NitroSecurity公司的NitroView产品专门提高了可见性，以便了解信息安全的各个方面。其高级产品营销经理Eric Knapp说：“网络行为是需要可视化的，因为人们常常从拓扑结构方面来考虑网络安全，但其他所有相关的流动数据需要可视化。”