Cuando se trata de auditoría de terminales, el tema habitual es qué tipo de información se puede registrar mediante la auditoría de terminales. Sin embargo, si cree que la auditoría de terminales es monitorear y registrar, caerá en el malentendido de la auditoría de terminales. El verdadero propósito de la auditoría de terminales no es registrar todo lo que le ha sucedido a la terminal para consultas futuras, sino realizar análisis forenses para verificar si las políticas de gestión de seguridad de la intranet implementadas cumplen con los requisitos de gestión de seguridad y promueven la mejora continua de la seguridad de la intranet. 1. Datos masivos de auditoría de terminales - Número de terminales, cada terminal es un punto de recopilación de datos - Tipos de datos de auditoría de terminales: comportamiento de la red, operaciones de archivos, impresión, etc. - Datos masivos generados por los terminales todos los días - Inundación masiva de datos 2. El la identidad del terminal es compleja y modificable - la identidad del terminal es diversa: nombre de usuario, IP, MAC, nombre de host, información de configuración de software y hardware, etc. - la identidad del terminal es modificable: robo ilegal de cuentas, modificación ilegal de IP, MAC y otras identidades Información, etc. - El comportamiento del terminal es incontrolable. Si se produce un ataque a la red (como la suplantación de ARP), se producirá una gran cantidad de información "falsa". - Los cambios de identidad conducirán a resultados de auditoría "sin precedentes". - Las identidades del terminal son volátiles, lo que provoca. Los resultados de la auditoría no son verdaderamente rastreables. Las características únicas mencionadas anteriormente de la auditoría terminal. Si no se puede garantizar la exactitud de los objetivos y métodos de la auditoría, los resultados de la auditoría serán muy divergentes. Los administradores o auditores se ahogarán en el "océano" de la auditoría. datos, y no podrá descubrir de manera efectiva vulnerabilidades de seguridad en la intranet ni podrá verificar si la política de administración de seguridad de la intranet es apropiada, ni podrá localizar con precisión comportamientos maliciosos, y perderá de vista el verdadero objetivo final de la auditoría de terminales para "promover mejora continua de la seguridad de la intranet". Tecnología de la información Co., Ltd. de Shanghai Dalong