关于安全产品采购需要先明确要解决什么问题，对产品的功能有什么需求，然后开始找厂商测试，一般看看产品白皮书就知道要不要进行测试。在这边有机会试用了下各头部安全厂商的产品，各家有各家的优势，但也只能解决我们的部分问题，产品功能很多，有些功能压根用不上，为此我们需要筛选出重要的需求，考虑到后续可能需要加基于这个产品做一下扩展工作，产品的扩展性也是一个考察重点，最后确定哪款相对比较合适。厂商接入测试时候，某些产品要先自测下，服务器和端上的商业产品的测试要思考下极限异常情况，比如软件竞争、服务端挂了客户端的情况，客户端频繁重启，磁盘io、数据更新时间等等其他情况，保证没啥大问题再开始小批量测试，销售说往往只说产品的好，作为产品的最终用户，前期不努力，后期得填坑。

资产定位是安全运营中的一大痛点，常常遇到有告警找不到人的情况, 为此找it、业务线理了一份资产库，倒是提高了效率，但优化的点还很多。第二个痛点是告警降噪，一是业务行为触发，还有一些明显的规则误报。告警降噪单纯的只是加白，能解决问题，但也可能会漏掉潜在的风险。例如一个数据包包含两种风险，NDR设备上业务侧复杂的sql查询会告警sql注入，这种查询如果用的是basic认证，或者jwt认证，就需要看看是不是存在弱口令，而这种弱口令是不会告警的，因此需要额外做一些自动化工作。另外在运营NDR设备时还可以基于平台存储的日志做一些情报提取，潜在漏洞发现等等。

资产数据的动态更新，日志存储平台这些基础数据平台搭建并不容易，以前停留在理论阶段，现在实战发现坑点还是很多了，从部署，自动化，扩容，异常处理，网上的文章7分真3分假，关键点往往一笔带过，踩了一些坑不过好在都解决了。

在甲方工作要有工程化思维，处理需求时候不要觉得写个脚本处理就行了，还得想想这种需求以后会不会再出现，做好需求归类和流程化，避免后续还得返工。闭环意识，这点很重要，之前在乙方处理事件后报告一交付就完事了，甲方安全部门要跟踪事件的全流程，协助其他团队修复验证，因此要定期返回梳理下之前的处理事件的进度，保证不会有遗漏。最后聊聊这半年遇到的灵异事件，
nmap可以把设备扫挂，
打印机半夜吐纸，
远程工具主动扫描内网，
…