SOC體系建設學習筆記

0x00 背景

       進階網絡威脅等網絡犯罪屢見不鮮，層出不窮。由于資料被盜、服務中斷及聲譽受損，導緻企業的網絡攻擊損失也不斷攀升。加之有關資訊安全的法律法規相繼頒布，以及各企業日益加強對第三方關系的管理，使用SIEM、SOC等産品來加強安全态勢感覺，建立資訊安全情況營運中心，統一指揮作戰，已成為大家共同的選擇。

目前，在國外，SOC服務通常是以一種類似于SaaS服務的SOC-as-a-service（SOC即服務）方式來提供的，發展得如火如荼。

0x01 目标願景

0x01 架構設計

SOC資料處理的四大步驟：

1）SIEM等工具收集将報警資料發送給第1層的分析師進行初步篩選和調查。

2）真正的威脅會傳遞給第2層的事件響應人員，以遏制威脅的傳播。

3）嚴重事件将交給管理第3層的進階分析師，由他們積極尋找威脅，評估業務漏洞。

4）第4層的SOC經理則負責根據資料資訊，對未來SOC進行整體規劃和管理。

     一切工作均始于資料，資料乃SOC之根源。确定收集資料所需的資料點是實作态勢感覺的第一步。在大多數情況下，這些資料點是來自組織機構的IT基礎結構的日志。有一個誤區就是将組織機構中所有可能的日志和資料點全部納入SIEM、SOC中，并假設可能有一天可能會用到這些資料。但管理供SIEM、SOC使用的資料成本非常高昂，為了避免不必要的營運成本，要優先選擇“需要”的資料。

0x02 SOC營運名額

1.soc的營運資料名額

2.SOC的不足

現在SOC資料來源于有很多，但是大部分都是網絡側流量資料、日志等，現有态勢感覺缺乏主機相關資訊，對于失陷主機的“态”及脆弱主機的“勢”無法精準有效的呈現。

1. 主機資産識别能力不足，統籌管理能力差。
2. 主機行為資訊不全，相關資訊搜尋能力不完善。
3. 主機層面的處理能力欠缺，批量處理/自動處理功能不完善。

0x03 SOC 使用場景

0x04 參考場景