0x00 背景
高級網絡威脅等網絡犯罪屢見不鮮,層出不窮。由於數據被盜、服務中斷及聲譽受損,導致企業的網絡攻擊損失也不斷攀升。加之有關信息安全的法律法規相繼頒佈,以及各企業日益加強對第三方關係的管理,使用SIEM、SOC等產品來加強安全態勢感知,建立信息安全情況運營中心,統一指揮作戰,已成爲大家共同的選擇。
目前,在國外,SOC服務通常是以一種類似於SaaS服務的SOC-as-a-service(SOC即服務)方式來提供的,發展得如火如荼。
0x01 目標願景
0x01 架構設計
SOC數據處理的四大步驟:
1)SIEM等工具收集將報警數據發送給第1層的分析師進行初步篩選和調查。
2)真正的威脅會傳遞給第2層的事件響應人員,以遏制威脅的傳播。
3)嚴重事件將交給管理第3層的高級分析師,由他們積極尋找威脅,評估業務漏洞。
4)第4層的SOC經理則負責根據數據信息,對未來SOC進行整體規劃和管理。
一切工作均始於數據,數據乃SOC之根源。確定收集數據所需的數據點是實現態勢感知的第一步。在大多數情況下,這些數據點是來自組織機構的IT基礎結構的日誌。有一個誤區就是將組織機構中所有可能的日誌和數據點全部納入SIEM、SOC中,並假設可能有一天可能會用到這些數據。但管理供SIEM、SOC使用的數據成本非常高昂,爲了避免不必要的運營成本,要優先選擇“需要”的數據。
0x02 SOC運營指標
1.soc的運營數據指標
2.SOC的不足
現在SOC數據來源於有很多,但是大部分都是網絡側流量數據、日誌等,現有態勢感知缺乏主機相關信息,對於失陷主機的“態”及脆弱主機的“勢”無法精準有效的呈現。
- 主機資產識別能力不足,統籌管理能力差。
- 主機行爲信息不全,相關信息搜索能力不完善。
- 主機層面的處理能力欠缺,批量處理/自動處理功能不完善。
0x03 SOC 使用場景
0x04 參考場景![]()
