煎餃的 Google Cybersecurity 學習筆記

C1W4_資安工具與程式語言

閱讀時間約 12 分鐘

關聯筆記Google Cybersecurity Certificate > C1 課程總覽

C1W4 — 資安工具與程式語言

Module 4: Tools of the trade

目錄

一、監控與事件回應工具

把資安工具想成「急救包」:醫院和診所的急救包內容不同,但都裝著同一類東西——止血帶、消毒藥水、繃帶。對應到資安:每間公司的工具組合不同,但都圍繞著幾個核心類別。懂這些類別,換到任何公司都能快速上手。

1. SIEM 工具

核心邏輯

SIEM = 自動篩選日誌 + 發出警報。分析師不是不看日誌,而是讓系統先幫你過濾,只把「異常的」推到你面前。

定義

  • Log(日誌):組織系統內發生的事件記錄,例如誰在何時登入、存取了什麼
  • SIEM(Security Information and Event Management):收集並分析日誌資料,針對特定威脅、風險、漏洞自動發出警報的應用程式

兩大代表工具

工具類型特點
Splunk Enterprise自架(Self-hosted)部署在組織自己的伺服器上
Google Chronicle雲端原生(Cloud-native)由 Google 托管,搜尋和分析大量安全資料

部署方式比較

部署方式適合誰
On-premise(自架)需要高度控制或有充足 IT 資源的團隊
Cloud-hosted(雲端托管)資安團隊規模較小或經驗較少的組織(設定、使用、維護都更簡單)

Dashboard 是 SIEM 的核心介面

SIEM 把資料視覺化為不同類別的 Dashboard,讓使用者選擇要分析的資料。不同 SIEM 工具有不同的 Dashboard 類型。

2. 封包嗅探器

定義

  • Network Protocol Analyzer(網路協定分析器),又稱 Packet Sniffer(封包嗅探器)
  • 捕捉並分析網路中傳輸資料的工具,等於把組織網路上電腦的所有「流量」全部錄下來

常見工具

  • tcpdump:命令列工具,輕量、快速
  • Wireshark:圖形介面,視覺化強、學習曲線低

3. Playbook

把 Playbook 想成「食譜書」:廚師不需要每次從零想怎麼做糖醋排骨,照著食譜一步步走就好。資安事件也一樣——分析師按照 Playbook 走,確保沒有步驟被跳過。

定義

  • Playbook:描述任何操作動作細節的手冊,如「事件發生時如何回應」
  • 每間組織有多份 Playbook,針對不同情境提供步驟指引

鑑識調查的兩大 Playbook

① Chain of Custody(監管鏈)Playbook 記錄證據在整個事件生命週期中的持有與控制狀態:

  1. 記錄誰、什麼、在哪裡、為什麼持有證據
  2. 每次移動證據都必須回報
  3. 確保所有相關人員隨時知道證據在哪

持有即負責

證據在你手上時,保護和追蹤是你的責任。

② Protecting and Preserving Evidence(保護與保全證據)Playbook 正確處理脆弱且易失的數位證據:

  • Order of Volatility(揮發順序):規定資料必須保存的先後順序,從最容易消失的開始
  • Volatile Data(揮發性資料):裝置一旦關機就可能永久消失的資料(如 RAM)

調查的第一優先

不當管理數位證據 → 證據被污染 → 不能再使用。第一步永遠是保存資料——製作副本,用副本進行調查,不動原始資料。

二、程式語言與作業系統

1. Linux

定義

  • Linux:一個開源(Open-source)作業系統
  • 開源 = 原始碼公開,任何人都可以查看、修改、貢獻

Linux 本身不是程式語言,但大量使用**命令列介面(CLI)**操作。

核心概念

  • Command(指令):告訴電腦執行某個動作的指示
  • CLI(Command-line Interface):文字型使用者介面,用指令與電腦互動

資安分析師用 Linux 做什麼

  • 查看和分析系統日誌
  • 調查網路異常
  • 管理使用者權限和檔案存取

2. SQL

定義

  • SQL(Structured Query Language):用來建立、互動、查詢資料庫的語言
  • Database(資料庫):組織化的資訊集合,可能包含數百萬個資料點(Data Point)

用途

  • 組織的安全日誌、使用者行為、網路流量都可以存入資料庫
  • 分析師用 SQL 從海量資料中快速找出關聯或異常

3. Python

定義

  • Programming(程式設計):建立一組指令讓電腦自動執行任務的過程
  • Automation(自動化):用技術減少人工執行重複性任務的需求,降低人為錯誤的風險

為什麼資安需要 Python?

資安分析師每天面對大量重複性任務(如掃描日誌、比對 IP 黑名單、產生報告)。Python 讓這些工作可以寫成腳本自動跑,分析師的時間留給真正需要判斷力的事。

三、其他防禦技術與概念

1. 防毒軟體(Antivirus Software)

定義

  • 又稱 Anti-malware
  • 用來預防、偵測、消除惡意軟體和病毒的程式

運作方式

  • 掃描裝置記憶體,尋找已知的惡意軟體特徵碼

2. 入侵偵測系統(IDS)

定義

  • Intrusion Detection System(IDS):監控系統活動、對可能的入侵發出警報的應用程式

能偵測的範圍

  • 分析網路封包中的資料
  • 可偵測資料竊盜、未授權存取

IDS vs SIEM

  • IDS:聚焦偵測網路/系統的入侵行為
  • SIEM:整合多來源日誌,提供整體威脅視圖

3. 加密(Encryption)

定義

  • Encryption(加密):把資料從可讀格式轉換為加密格式,確保未授權者無法讀取

相關術語

  • Plaintext(明文):未加密的原始資訊
  • Ciphertext(密文):加密後的安全格式
  • Cryptographic encoding:將明文轉換為安全密文的過程

加密 ≠ 編碼(Encoding)

  • Encoding(編碼):使用公開演算法讓不同系統共享資訊——目的是格式相容
  • Encryption(加密):保護資料機密性——目的是防止未授權讀取

4. 網路漏洞(Web Vulnerability)

定義

  • Web Vulnerability:網路應用程式中被威脅行為者利用的獨特缺陷
  • 可能導致:未授權存取、資料竊盜、惡意軟體部署

OWASP Top 10

OWASP(Open Web Application Security Project)Top 10:列出對 Web 應用程式最關鍵的 10 大風險,定期更新。資安分析師必須追蹤此清單掌握最新威脅。

5. 滲透測試(Penetration Testing)

定義

  • Penetration Testing(滲透測試),又稱 Pen Testing
  • 透過模擬攻擊來找出系統、網路、網站、應用程式中的漏洞

特點

  • 是一種全面的風險評估
  • 可同時評估外部內部威脅及弱點
  • 必須是合法授權的模擬攻擊

四、術語速查表

英文中文白話解釋
SIEM安全資訊與事件管理自動收集日誌、篩選威脅、發出警報的工具
Log日誌組織系統內事件的記錄
Splunk Enterprise自架型 SIEM,部署在組織內部伺服器
Google Chronicle雲端原生 SIEM,由 Google 托管
Packet Sniffer封包嗅探器捕捉並分析網路流量的工具
tcpdump命令列封包分析工具
Wireshark圖形介面封包分析工具
Playbook操作手冊描述資安操作步驟的標準化文件
Chain of Custody監管鏈記錄證據持有與控制狀態的流程
Order of Volatility揮發順序規定資料保存先後順序的序列(從最易失的開始)
Volatile Data揮發性資料裝置關機就可能消失的資料(如 RAM)
Linux開源作業系統,資安圈常用
CLI命令列介面用文字指令與電腦互動的介面
SQL結構化查詢語言與資料庫互動、查詢資料的語言
Database資料庫有組織的資訊集合
Python常用於自動化資安任務的程式語言
Automation自動化用技術取代重複性人工作業
IDS入侵偵測系統監控活動、偵測可能入侵的應用程式
Antivirus Software防毒軟體防止、偵測、消除惡意軟體的程式
Encryption加密將明文轉為密文,防止未授權讀取
Plaintext明文未加密的原始資訊
Ciphertext密文加密後的安全格式
Web Vulnerability網路漏洞Web 應用中可被利用的缺陷
Penetration Testing滲透測試授權的模擬攻擊,用於找出漏洞
OWASP開放 Web 應用安全專案發布 Web 應用最關鍵風險清單的非營利組織
Programming程式設計建立讓電腦執行任務指令的過程
Open source開源程式碼公開,允許他人查看和貢獻

筆記建立日期:2026-03-26 | 最後更新:2026-03-26

關係圖譜

反向連結