日志數(shù)據(jù)(或日志數(shù)據(jù)減少異常)，而這些并不需要關聯(lián)分析來發(fā)現(xiàn)。正如海量數(shù)據(jù)的分層存儲，安全事件的分層分析是分析引擎的發(fā)展趨勢。

對于實時事件分析主要分為基礎層分析和研究層分析：

基礎層分析：在這一層完成日志到事件的轉變，包括

關鍵日志識別，從普通的背景事件中識別關鍵事件(事件識別與分類必須完備)，通過常用技術手段是數(shù)據(jù)歸并、過濾;

初步異常事件發(fā)現(xiàn)，通過基礎分析引擎的應用，包括特征匹配分析，統(tǒng)計閥值分析，將分析的安全事件結果傳遞給更高層級做進一步分析。

研究層分析：在這一層完成事件到預警、工單、風險等處理的轉變

多引擎分析架構包括基于趨勢發(fā)展分析，狀態(tài)機分析，數(shù)據(jù)挖掘分析，多屬性關聯(lián)分析，多類型事件間的關聯(lián)分析。

安全管理的實際效果，通常來源與管理分析規(guī)則的落地程度，以及關聯(lián)分析普適性預制場景，以及持續(xù)升級是保持安全管理平臺活力的直接來源。與云端和安全服務相結合，是大多數(shù)企業(yè)較好的選擇。

3.4可視化目標決定形態(tài)

安全管理的可視化技術最重要的場景是兩個：全局安全狀況展現(xiàn)與實時監(jiān)控，安全事件事后分析。

全局安全狀況展現(xiàn)與實時監(jiān)控中，去繁從簡，宏觀到微觀緊密結合是大趨勢。復雜的配置，眼花繚亂的展現(xiàn)效果并不能給普通企業(yè)管理人員帶來實質性的效果。簡介明了的預制模板，讓管理者和運維人員都能很好的聚焦要解決的問題，層層下鉆的交互方式，則將宏觀的狀態(tài)與趨勢與微觀的事件，漏洞等相結合，使得定性監(jiān)控與定量分析融為一體。

安全事件事后分析中，聚類分析、圖像分析、屬性自動聯(lián)想綜合運用的關聯(lián)分析方法是安全事件分析的發(fā)展趨勢。能從各種可視化效果，為管理員準確定位，判斷影響，制定應對措施提供有力的輔助。精確定位是事后分析的處理問題的前提，發(fā)生攻擊企圖或者攻擊行為的時候，能快速精確定位攻擊的目標，這是從發(fā)現(xiàn)問題到解決問題的必然途徑。精確定位中有效的可視化技術，能幫助管理人員及時定位問題區(qū)域，影響范圍。

3.5安全產品集中化，安全管理管到實處

過去幾年，安全管理和網絡管理逐漸融合，未來，資產與業(yè)務安全管理(終端，主機，設備，應用)與安全事件分析與處理將更加緊密的結合在一起，為企業(yè)建立全方位的安全管理架構。

安全管理一定要管起來，這包括：

˙終端安全，這不可缺少的一部分，包括終端的策略與惡意軟件查殺;

˙主機與設備操作監(jiān)控與審計，確保各管理員的工作一要授權，二要審查，避免出現(xiàn)IT里的權利真空;

˙主機、網絡設備與安全設備的配置檢查、備份與恢復，定期的自動化工作能盡早發(fā)現(xiàn)問題，及時得到恢復;

˙操作系統(tǒng)與應用的漏洞(補丁)管理與運行監(jiān)控，持續(xù)的漏洞與補丁跟蹤，才能提前做好防范與應對準備。

安全管理不是一味的和攻擊者比快，而是監(jiān)管結合，提前防備，攻擊預警，事后定位相結合，才能使安全管理發(fā)揮最大作用。做好這些“管理”工作，才能從被動響應到主動管理。通過規(guī)范終端安全，加強主機監(jiān)管，定期配置檢查，進行備份與恢復，對所使用的主流通用系統(tǒng)定期漏洞檢查，自動獲取各系統(tǒng)補丁，而這些都在安全管理中自動完成，并與系統(tǒng)運維體系相結合，使IT管理部門將精力放在策略的制定和維護上，避免被動響應造成資源浪費與服務質量下降。

3.6安全管理產品與遠程服務相結合

目前還沒有一勞永逸的安全管理產品，完全的智能化，任重而道遠。因此安全服務與安全管理類產品相結合，是安全管理類軟件發(fā)揮最大效果的途徑之一。

大部分情況下，攻擊的發(fā)生，通過安全管理平臺的分析是能夠發(fā)現(xiàn)的，但這需要及時的分析規(guī)則升級，7×24小時的監(jiān)控，不同事件的專業(yè)化分析與積累，不斷完善事件處理知識庫。安全管理類軟件，與專業(yè)的安全管理服務中心所建立的遠程在線實時服務，可以降低成本，獲得及時咨詢與服務，在一定程度上控制風險。對于大多數(shù)缺少專業(yè)人員的企業(yè)，結合安全服務來使用安全管理類產品是非常值得去嘗試的。