4、关注关键基础架构的变化

　　在考虑到企业需要时，找到应当持续监视的关键企业资产变得相对容易。企业的关键资产，不管是证书服务器还是特定的本地驱动，安全管理者都应当监视并分析其变化。

　　可以将变化分为系统变化（或配置变化）以及商业知识的变化。由于这些关键系统不应当有很多变化，所以发现问题不会花费太多时间。而对变化进行分组可以节省大量时间。

　　5、安全分析

　　企业用于分析的数据越多，就越容易看到数据的不完善方面。为了从数据中获得最好的结论，就需要在前期清理数据，而且要认识到在数据收集中存在的问题。

　　在把这些数据源组合在一起时，你可能会注意到一些矛盾问题。在你从两个不同的团队（这两个团队都在公司内部独立工作）收集数据时，你要整合这些数据，却发现这似乎不可能。

　　分析人员以整合数据和评估数据源为基础，可以进一步改善数据质量和数据分析的质量。如果将数据源组合在一起，分析人员会发现问题出在哪里，并认识到自己并没有扫描所有的主机，甚至会发现有的网络竟然不受控制，而且也没有得到完整的日志。

　　6、利用企业内部的业务情报专家

　　如果企业没有雄厚的财力雇佣数据专家去审查和分析安全数据，也不必放弃希望。安全分析人员可以请求企业的业务情报团队帮助进行分析。业务情报团队拥有其自己的数据存储机制，其人员未必受到过信息安全的良好培训，却有大量的专业技术，当然知道数据分析的重点。依靠业务情报部门可以使安全分析有一个良好的开端，至少对于安全分析是这样。

　　7、牢记安全数据也需要保护

　　安全团队收集的数据和分析信息越多，其资料库越容易成为攻击者的目标。随着安全分析的不断深入，分析人员必须知道，分析得到的数据要比公司数据更有吸引力，原因就在于这种数据掌握着揭示企业防御机制的秘密。

　　如果企业的安全工具还不如网络本身更安全，它就会成为可被攻击者利用的一个漏洞。例如，基于胖客户端的工具可以带来安全威胁，这是因为笔记本电脑上往往携带着大量的数据，而该种设备又有可能失窃或被渗透。在数据中心找到一个安全位置来存放安全数据有助于减少这些漏洞。

　　当然，以上的方法并非安全问题的最全面的解决之道，却可给安全团队提个醒儿，或可在安全分析时助一臂之力。