0x00 背景
進階網絡威脅等網絡犯罪屢見不鮮,層出不窮。由于資料被盜、服務中斷及聲譽受損,導緻企業的網絡攻擊損失也不斷攀升。加之有關資訊安全的法律法規相繼頒布,以及各企業日益加強對第三方關系的管理,使用SIEM、SOC等産品來加強安全态勢感覺,建立資訊安全情況營運中心,統一指揮作戰,已成為大家共同的選擇。
目前,在國外,SOC服務通常是以一種類似于SaaS服務的SOC-as-a-service(SOC即服務)方式來提供的,發展得如火如荼。
0x01 目标願景
0x01 架構設計
SOC資料處理的四大步驟:
1)SIEM等工具收集将報警資料發送給第1層的分析師進行初步篩選和調查。
2)真正的威脅會傳遞給第2層的事件響應人員,以遏制威脅的傳播。
3)嚴重事件将交給管理第3層的進階分析師,由他們積極尋找威脅,評估業務漏洞。
4)第4層的SOC經理則負責根據資料資訊,對未來SOC進行整體規劃和管理。
一切工作均始于資料,資料乃SOC之根源。确定收集資料所需的資料點是實作态勢感覺的第一步。在大多數情況下,這些資料點是來自組織機構的IT基礎結構的日志。有一個誤區就是将組織機構中所有可能的日志和資料點全部納入SIEM、SOC中,并假設可能有一天可能會用到這些資料。但管理供SIEM、SOC使用的資料成本非常高昂,為了避免不必要的營運成本,要優先選擇“需要”的資料。
0x02 SOC營運名額
1.soc的營運資料名額
2.SOC的不足
現在SOC資料來源于有很多,但是大部分都是網絡側流量資料、日志等,現有态勢感覺缺乏主機相關資訊,對于失陷主機的“态”及脆弱主機的“勢”無法精準有效的呈現。
- 主機資産識别能力不足,統籌管理能力差。
- 主機行為資訊不全,相關資訊搜尋能力不完善。
- 主機層面的處理能力欠缺,批量處理/自動處理功能不完善。
0x03 SOC 使用場景
0x04 參考場景