4.6.1　数据收集阶段

在数据收集阶段，组织应收集安全事件和告警数据。如今，组织使用数不清的安全工具来帮助追踪威胁行为者，防止黑客的攻击得逞。其中一些工具只给出警告，因此只是生成事件和警报。一些功能强大的工具可能不会对动作小的检测发出警报，但它们会生成安全事件。

然而，每天可能会产生数以万计的事件，从而使组织对于关注哪些事件感到困惑。此阶段的另一项适用内容是日志和机器数据的收集。通过此类数据可以更深入地了解每个用户或每个应用程序在组织网络中实际发生的情况。这一阶段最后一件适用的事情是收集取证传感器数据。取证传感器（如网络和端点取证传感器）甚至更深入，当日志不可用时它们会派上用场。