Wat is monitoring
Monitoring (binnen security) is het (real-time) bewaken van een system / omgeving, waarbij gelet wordt op afwijkingen die een security breach kunnen vormen.
Bij network security monitoring (NSM) wordt (real-time) data verzameld en geanalyseerd. (Mogelijke) security events worden gevisualiseerd, zodat actie kan worden ondernomen.
Bij system monitoring wordt de status van het systeem bewaakt, waarbij (potientiele) security breaches worden gevisualiseerd. System monitoring kan plaatsvinden op servers, maar zeker ook op (mobiele-) clients (endpoint detection).
Monitoring is het zoeken naar de speld in de hooiberg. Verreweg het meeste datastromen zijn vertrouwd. Tussen al deze stromen zijn stromen die wijzen op malicious gedrag. Wat malicous gedrag is, is niet te definieren. Er zijn vele malicious patronen die dagelijks weer anders zijn. Detadetectie van deze patronen kan op basis van:
- Herkomst van de datastroom (reputation based)
- Vergelijken met een (zeer grote) verzameling van bekende patronen
- Analyse op basis van basiskenmerken van afwijkingen, statistische analyse, machine learning algorithmen