一、SOC 定義
安全運(yùn)營(yíng)中心(SOC)對(duì)不同的人有不同的含義。有些人說(shuō)他們“運(yùn)行安全平臺(tái)”,別人說(shuō)“他們處理事件”,還有人說(shuō)“他們監(jiān)控網(wǎng)絡(luò)的安全”。BTHb:SOCTH中SOC的定義為:
一個(gè)集中在單一組織中的團(tuán)隊(duì),負(fù)責(zé)監(jiān)控信息技術(shù)環(huán)境中的漏洞、未經(jīng)授權(quán)的活動(dòng)、可接受的使用/策略/程序違規(guī)、網(wǎng)絡(luò)入侵和向網(wǎng)絡(luò)外入侵,并為網(wǎng)絡(luò)事件響應(yīng)過(guò)程提供直接支持。
簡(jiǎn)而言之,SOC是第一道防線。這個(gè)定義包含了成功SOC的幾個(gè)重要策略。首先,SOC必須處于單一的管理和報(bào)告結(jié)構(gòu)下,這樣它就有了清晰的權(quán)限、資金、報(bào)告和責(zé)任。其次,SOC必須了解業(yè)務(wù)和IT環(huán)境的所有方面,從最小的工作站到云中的最大超級(jí)集群。第三,SOC需要了解其運(yùn)營(yíng)領(lǐng)域(AO)、它們將如何支持業(yè)務(wù)、監(jiān)視業(yè)務(wù)應(yīng)用程序和基礎(chǔ)設(shè)施。這些標(biāo)準(zhǔn)必須包括在SOC憲章中。第四,SOC預(yù)算需要足夠大,以持續(xù)投資于人員和支持交叉培訓(xùn),而不是超級(jí)復(fù)雜的軟件。這一概念引出了第五個(gè)策略:訓(xùn)練并鼓勵(lì)分析師保持冷靜,正確解讀警報(bào)及其支持?jǐn)?shù)據(jù)。這要求SOC分析人員受過(guò)良好的培訓(xùn)。
有一點(diǎn)值得詳細(xì)說(shuō)明。SOC團(tuán)隊(duì)可以通過(guò)幾種不同的方法來(lái)建立它的AO。SOC可以使用IT通用控制程序、公司政策/程序、來(lái)自ISO 2700X系列等標(biāo)準(zhǔn)的指導(dǎo),或者遵循互聯(lián)網(wǎng)安全中心的20個(gè)關(guān)鍵控制。在設(shè)計(jì)、構(gòu)建、配置和操作SOC時(shí),您需要開發(fā)一個(gè)章程和任務(wù)聲明。
為了實(shí)現(xiàn)這些不同的策略,SOC需要知道網(wǎng)絡(luò)、應(yīng)用程序到服務(wù)器的關(guān)系、網(wǎng)絡(luò)上正在發(fā)生的事情,并且能夠確定該活動(dòng)是否對(duì)組織構(gòu)成了需要有效處理的足夠大的風(fēng)險(xiǎn)。SOC團(tuán)隊(duì)不使用復(fù)雜的SIEM軟件解決安全問(wèn)題。他們用知識(shí)、技能和能力解決問(wèn)題。復(fù)雜的SIEM工具有所幫助——但它們不是技術(shù)上的萬(wàn)能藥。
二、SOC章程
每個(gè)安全運(yùn)營(yíng)中心都需要一個(gè)“章程”。SOC章程定義了SOC如何服務(wù)于業(yè)務(wù)、任務(wù)以及定義治理和操作規(guī)則,它的操作領(lǐng)域是什么,以及組織需要如何響應(yīng)警報(bào)條件和監(jiān)視SOC的執(zhí)行。
請(qǐng)注意SOC章程與項(xiàng)目章程并不相同。SOC項(xiàng)目實(shí)施章程是授權(quán)項(xiàng)目開發(fā)SOC、可能實(shí)現(xiàn)SIEM并授權(quán)項(xiàng)目經(jīng)理應(yīng)用資源和創(chuàng)建SOC的正式文件。
SOC章程通常與SOC/SIEM項(xiàng)目實(shí)施章程同時(shí)制定。SOC章程的范圍應(yīng)該適當(dāng),而實(shí)現(xiàn)章程是項(xiàng)目管理協(xié)會(huì)(PMI)定義的文檔。這個(gè)術(shù)語(yǔ)來(lái)自作為“項(xiàng)目構(gòu)件”類型的項(xiàng)目知識(shí)管理主體(PMBOK)。不要混淆這兩者。
三、業(yè)務(wù)價(jià)值鏈緊密相連
IT人員通常不接受的一個(gè)概念是業(yè)務(wù)“價(jià)值鏈”。價(jià)值鏈?zhǔn)且唤M活動(dòng),這些活動(dòng)接受輸入并將其轉(zhuǎn)換為輸出,從而為市場(chǎng)帶來(lái)有價(jià)值的服務(wù)或產(chǎn)品。價(jià)值鏈包括:資源生成器、入站物流、制造或服務(wù)運(yùn)營(yíng)、營(yíng)銷、出站物流或服務(wù)交付,以及售后服務(wù)和支持運(yùn)營(yíng)。今天,價(jià)值鏈中很少有不依賴于某種形式的信息技術(shù)的方面,而這些信息技術(shù)必須按照IT一般控制程序進(jìn)行監(jiān)視和完全保護(hù)。
對(duì)于SOC,以及一般的IT,為了與業(yè)務(wù)相關(guān)并與業(yè)務(wù)溝通,他們必須了解業(yè)務(wù)如何表述,以及業(yè)務(wù)的上下文和運(yùn)營(yíng)概念。從形式上講,價(jià)值鏈應(yīng)該在市場(chǎng)上創(chuàng)造某種形式的競(jìng)爭(zhēng)優(yōu)勢(shì)。
四、識(shí)別SOC的服務(wù)
安全運(yùn)營(yíng)中心可以為業(yè)務(wù)和IT提供許多服務(wù)。當(dāng)您考慮這些服務(wù)中的每一個(gè)時(shí),請(qǐng)確保將它們合并到您的SOC規(guī)劃過(guò)程以及支持技能、數(shù)據(jù)源、響應(yīng)模式和人員配置中,以在SOC的生命周期內(nèi)實(shí)現(xiàn)該服務(wù)。
此外,當(dāng)您的組織考慮它將為業(yè)務(wù)提供的服務(wù)時(shí),請(qǐng)小心構(gòu)建那些僅通過(guò)采用您能夠成功交付的服務(wù)就能夠成功的服務(wù)。SOC運(yùn)營(yíng)團(tuán)隊(duì)的核心服務(wù)如下所示。您的組織肯定會(huì)基于您自己的能力、資金和人員水平來(lái)實(shí)現(xiàn)這些服務(wù)。
監(jiān)視安全狀態(tài):這是SOC的主要角色:監(jiān)視安全條件、警報(bào)、安全平臺(tái)的健康狀況的環(huán)境,并通過(guò)組織提供各種技術(shù)解決方案進(jìn)行響應(yīng)。
命令功能:這可能是一個(gè)重復(fù)的活動(dòng),因?yàn)镾OC協(xié)調(diào)警報(bào)響應(yīng)、事件響應(yīng)和取證過(guò)程。事件指揮可以是一個(gè)非常密集的過(guò)程。事件指揮意味著SOC將識(shí)別事件,與處理程序合作,協(xié)調(diào)遏制行動(dòng),協(xié)助根除工作,從事件中獲取信息,并根據(jù)新發(fā)現(xiàn)的情報(bào)更好地實(shí)現(xiàn)內(nèi)部系統(tǒng),還可能支持推出更新或其他修復(fù)。
發(fā)起和管理事件響應(yīng)(識(shí)別和補(bǔ)救支持):SOC的活動(dòng)和檢測(cè)的一個(gè)重要部分集中于基于警報(bào)和NSM工作發(fā)現(xiàn)和驗(yàn)證安全事件。SOC可能被授權(quán)從供應(yīng)商、承包商、二級(jí)業(yè)務(wù)單位(SOC和IR職能之外的各種人員)發(fā)起特定的IR支持。在這些情況下,需要使用一組提供給SOC/IR團(tuán)隊(duì)外部的可發(fā)布數(shù)據(jù)來(lái)定義操作流程。不要做自由撰稿人,也不要在旅途中編造這些觀點(diǎn)——要提前計(jì)劃。要開始計(jì)劃,請(qǐng)檢查應(yīng)用程序清單,并確定是否可以在內(nèi)部處理IR支持,或者是否需要聘請(qǐng)第三方。如果你已經(jīng)計(jì)劃好了,那就用桌面練習(xí)的形式,每年至少鍛煉兩次。一旦穩(wěn)定下來(lái),將各種真實(shí)數(shù)據(jù)或活動(dòng)組件集成到IR計(jì)劃的測(cè)試中。逐步加入外部滲透測(cè)試團(tuán)隊(duì),勾勒出參與結(jié)構(gòu),并對(duì)藍(lán)隊(duì)進(jìn)行測(cè)試。
漏洞管理:SOC管理器可能被要求幫助甚至運(yùn)行一個(gè)漏洞管理程序。SOC管理人員應(yīng)該非常謹(jǐn)慎,不要承擔(dān)SOC可能無(wú)法處理的任務(wù):開發(fā)和部署一個(gè)雙向的、全面的VA/VM程序。通過(guò)安全查找、通知、跟蹤和嘗試識(shí)別系統(tǒng)所有者和管理員,然后及時(shí)獲得系統(tǒng)管理員和數(shù)據(jù)所有者對(duì)補(bǔ)救漏洞的支持,這可能是一個(gè)勞動(dòng)密集型的過(guò)程。此外,一個(gè)有效的VA/VM程序需要在業(yè)務(wù)上下文和概念層中執(zhí)行,這意味著程序的焦點(diǎn)應(yīng)該遵循業(yè)務(wù)臨界模型。這些都是復(fù)雜的運(yùn)行一個(gè)程序,可以拉伸SOC。
取證/eDiscovery:根據(jù)SOC的規(guī)模,取證支持可以在內(nèi)部進(jìn)行,或者SOC可以與第三方協(xié)調(diào)和支持取證檢查。組織內(nèi)的eDiscovery通常使用相同或類似的工具,在收集特定于案例的信息時(shí)需要進(jìn)行鏈托管,并且還將分析數(shù)據(jù)收集的結(jié)果。一個(gè)關(guān)鍵的不同之處在于,eDiscovery專注于從活動(dòng)中收集特定的搜索信息,使用由人們生成和使用的數(shù)據(jù)和信息存儲(chǔ)庫(kù)。取證技術(shù)更深入,檢查來(lái)自文件系統(tǒng)的系統(tǒng)構(gòu)件,這些構(gòu)件顯示了用戶與文件和數(shù)據(jù)、駐留在內(nèi)存中的惡意軟件或從磁盤刪除的數(shù)據(jù)交互的意圖。
報(bào)告:運(yùn)行報(bào)告以支持遵從性需求和IT一般控制監(jiān)視。運(yùn)行報(bào)告以支持警報(bào)、事件和其他報(bào)告需求。響應(yīng)其他數(shù)據(jù)請(qǐng)求。
惡意軟件分析:如果SOC分析人員能夠安全地恢復(fù)惡意軟件樣本,那么他們可能傾向于使用VirusTotal、JoeSandbox或ThreatExpert等服務(wù)執(zhí)行一些輕量級(jí)的惡意軟件分析。這個(gè)建議在十年前是有用的,現(xiàn)在已經(jīng)不再被認(rèn)為是最佳實(shí)踐。2017年,更好的做法是通過(guò)一個(gè)建在Cuckoo沙箱上的本地惡意軟件分析引擎運(yùn)行樣本,以防止通知攻擊者,攻擊者可能正在監(jiān)視在線服務(wù)如何找到他們的惡意軟件。這些工具允許用戶上傳可疑的二進(jìn)制文件,然后通知是否已知錯(cuò)誤,并提供不同級(jí)別的活動(dòng)分析,如注冊(cè)表更改、新服務(wù)、文件系統(tǒng)更改、正在使用的IP地址或查找的域名。如果分析揭示了一些可疑的東西,那么SOC分析人員將獲得運(yùn)營(yíng)情報(bào)并能夠更好地搜索安全數(shù)據(jù)。更復(fù)雜的逆向工程是一項(xiàng)非常專業(yè)的技能,需要為此目的設(shè)置環(huán)境。
入侵檢測(cè):在網(wǎng)絡(luò)或主機(jī)上可以部署多個(gè)檢測(cè)系統(tǒng)。這些檢測(cè)系統(tǒng)(Snort、Suricata、Bro、PassiveDNS等)都需要護(hù)理和喂養(yǎng),以確保正常運(yùn)行。贏得預(yù)算但不維護(hù)規(guī)則集的NIDS平臺(tái)并不是最佳解決方案。
通知完善和改進(jìn):對(duì)于被認(rèn)為有效的警報(bào)條件,創(chuàng)建通知并為接收方提供足夠的支持信息。
網(wǎng)絡(luò)安全監(jiān)控:NSM是基于網(wǎng)絡(luò)級(jí)數(shù)據(jù)收集、檢測(cè)、分析和升級(jí)表示入侵的指示和警告。
威脅搜索:威脅搜索是一個(gè)主動(dòng)的過(guò)程,它從本質(zhì)上假定存在某種形式的入侵或入侵。威脅狩獵首先產(chǎn)生一個(gè)破壞的假設(shè),然后檢驗(yàn)這個(gè)假設(shè)。它包括從縱向和總體上對(duì)流程、賬戶活動(dòng)和事件的系統(tǒng)審查。威脅搜索用于檢測(cè)數(shù)據(jù)挖掘帶來(lái)的安全威脅、入侵、誤用和破壞。
平臺(tái)健康監(jiān)控:監(jiān)控SIEM儀表板和警報(bào)流,根據(jù)優(yōu)先級(jí)對(duì)警報(bào)進(jìn)行審查和處理。監(jiān)控SIEM平臺(tái)和其他支持?jǐn)?shù)據(jù)源,以發(fā)現(xiàn)問(wèn)題并與數(shù)據(jù)保管人合作,確保數(shù)據(jù)的可生存性。隨著環(huán)境的變化,更新平臺(tái)定義(資產(chǎn)、網(wǎng)絡(luò)、特權(quán)用戶、警報(bào)等)。包括通過(guò)檢查確保事件被解析并創(chuàng)建新的或改進(jìn)的警報(bào)來(lái)維護(hù)源數(shù)據(jù)的可用性和質(zhì)量。
網(wǎng)絡(luò)威脅情報(bào):分析對(duì)手的能力、動(dòng)機(jī)和目標(biāo)。網(wǎng)絡(luò)威脅情報(bào)(CTI)是分析對(duì)手如何利用網(wǎng)絡(luò)領(lǐng)域來(lái)實(shí)現(xiàn)他們的目標(biāo)。在考慮CTI時(shí),應(yīng)該使用多個(gè)源。并非所有的CTI來(lái)源都是相同的或提供相同程度的覆蓋。此外,CTI(在我看來(lái))還包括了解軟件漏洞和現(xiàn)成的攻擊者功能。例如,本周添加了哪些新的Metasploit漏洞?Metasploit大大簡(jiǎn)化了漏洞利用的過(guò)程,因?yàn)槁┒幢环庋b在可重用的代碼中,在您所依賴的技術(shù)中宣布#漏洞之后,新漏洞出現(xiàn)的速度有多快?通過(guò)了解來(lái)自IR社區(qū)(如SANS、TrustWave、IANS、FireEye、CrowdStrilce、AlienVault和EMC/RSA)的攻擊工具、供應(yīng)商公告和帖子,您可以構(gòu)建一個(gè)非常低成本的CTI程序,然后做出購(gòu)買決策。
威脅情報(bào)集成:這是一個(gè)仔細(xì)選擇并將威脅情報(bào)feeds引入系統(tǒng)的過(guò)程,以改進(jìn)警報(bào)和更好地識(shí)別可疑或惡意源、目標(biāo)、域和其他模式。威脅情報(bào)來(lái)源及其提供的信息應(yīng)該在檢測(cè)路線圖上。
策略和過(guò)程支持:許多監(jiān)視控制和功能應(yīng)該直接與已建立的策略和過(guò)程相關(guān)聯(lián)。在實(shí)現(xiàn)用例時(shí),確保SOC將如何支持PnP強(qiáng)制執(zhí)行。更具體地說(shuō),隨著這個(gè)服務(wù)領(lǐng)域的成熟,確保編寫SoP來(lái)定義SOC將如何正確地與用戶、主管、HR和法律打交道,以應(yīng)對(duì)違反PnP的情況。
內(nèi)部培訓(xùn):鐵器必須磨鐵,所以SOC管理團(tuán)隊(duì)必須確保,當(dāng)SOC發(fā)生變化時(shí),必須對(duì)生產(chǎn)線人員進(jìn)行培訓(xùn)并保持最新。例如,當(dāng)一個(gè)新的數(shù)據(jù)源集成到SOC中時(shí),所有成員都需要對(duì)數(shù)據(jù)源以及如何正確使用數(shù)據(jù)源進(jìn)行簡(jiǎn)要說(shuō)明。
四、SOC項(xiàng)目規(guī)劃大綱和專業(yè)說(shuō)明
“如果你計(jì)劃失敗,你就計(jì)劃失敗。”
-通常認(rèn)為是本杰明·富蘭克林
而不是重復(fù)BTHB:SOCTH中的任何內(nèi)容,這是一個(gè)基于PMI PMBOK規(guī)劃SOC的濃縮大綱。此外,不要回避使用PMI PMBOK,因?yàn)椤绊?xiàng)目經(jīng)理很煩人”、“項(xiàng)目管理毫無(wú)用處”或“沒有那么難”。一個(gè)了解如何在預(yù)算之內(nèi)按時(shí)完成項(xiàng)目的可靠的PM是一個(gè)非常好的伙伴。這部分提供了一個(gè)沒有多余的,只是事實(shí),討論SOC和SIEM計(jì)劃。
1、開發(fā)關(guān)鍵業(yè)務(wù)重點(diǎn)是理解組織以及SOC如何支持其目標(biāo)。
(1)理解組織對(duì)SOC的需求,這意味著您需要理解組織的目標(biāo)和目的,通過(guò)能夠闡明SOC如何保護(hù)組織生產(chǎn)、銷售或向他人提供的服務(wù),SOC將具有更高的可信度,與業(yè)務(wù)相關(guān),并支持組織的使命聲明。
(2)了解SOC需要解決的業(yè)務(wù)問(wèn)題,以及SOC需要監(jiān)控的價(jià)值鏈資源。您可能需要更多的以“遵從性”為重點(diǎn)的SOC、戰(zhàn)術(shù)SOC、以事件為重點(diǎn)的SOC,或者這些的一些組合。除了一般的IT資源外,SOC還將監(jiān)視價(jià)值鏈的幾個(gè)組件。智能地針對(duì)價(jià)值鏈進(jìn)行監(jiān)控的SOC將更加成功,并且與業(yè)務(wù)相關(guān)。
(3)確定SOC的支持者。發(fā)起、構(gòu)建和部署SOC可能會(huì)遇到困難。SOC經(jīng)理必須確保支持者關(guān)系得到良好維護(hù)。“客戶”應(yīng)該想要SOC服務(wù),而不是把它們?nèi)拥剿麄兊南ドw上。其他業(yè)務(wù)角色將需要配備良好的人員。評(píng)估人員和監(jiān)管者是“外部利益相關(guān)者”的例子,這些角色將由具有不同技能水平的審計(jì)人員擔(dān)任,他們?cè)噲D衡量和報(bào)告組織內(nèi)的風(fēng)險(xiǎn)和合規(guī)程度。了解涉眾可能會(huì)提出的問(wèn)題,將為向SIEM平臺(tái)報(bào)告應(yīng)該實(shí)現(xiàn)的用例、報(bào)告和數(shù)據(jù)源提供信息。
(4)確保SOC及其支持的日志基礎(chǔ)設(shè)施有實(shí)際的需求。準(zhǔn)備好闡明需求,并解釋員工和技術(shù)能力如何滿足需求。在這里,您應(yīng)該開發(fā)一個(gè)正式的業(yè)務(wù)案例。準(zhǔn)備好證明構(gòu)建SOC所需的人員、資源、訪問(wèn)和軟件的合理性。
(5)開發(fā)關(guān)鍵的“安全狀態(tài)”理解(“現(xiàn)狀”與“未來(lái)”狀態(tài))。這種理解本質(zhì)上是技術(shù)性的,并且與傳統(tǒng)IT視角下的各種用例和監(jiān)視需求相對(duì)應(yīng)。在可能的情況下,將安全狀態(tài)監(jiān)視功能與價(jià)值鏈組件和IT General Controls程序連接起來(lái)。請(qǐng)參考您所在行業(yè)最適用的標(biāo)準(zhǔn),如ISO 27002。更多信息見第241頁(yè)。)
2、構(gòu)建您最初的業(yè)務(wù)案例、章程、項(xiàng)目計(jì)劃、預(yù)算請(qǐng)求和支持構(gòu)建SOC的理由。這個(gè)過(guò)程可能需要三到八個(gè)月的努力。設(shè)計(jì)階段,確定每個(gè)階段的關(guān)鍵投入和產(chǎn)出,以及誰(shuí)將支持每個(gè)項(xiàng)目階段。
(1)定義組織的所有權(quán)、職責(zé)和SOC位置。試著找到一個(gè)能容納兩倍于第一年人數(shù)的空間,這樣你就不用在第三年搬家了。
(2)確定SOC的關(guān)鍵角色:“架構(gòu)師”、“工程師”、“分析師”、“經(jīng)理”、“customer”、“sponsor”和“利益相關(guān)者”。其中一些角色幾乎與PMTs PMBOK(腳注中的定義)定義的角色相同。
(3)確定相關(guān)的策略、過(guò)程和治理。審查現(xiàn)有的PPG并確定它們是否支持SOC。確保SOC功能集成到ITIL流程中,特別是變更管理流程中。SOC將需要使用變更的遠(yuǎn)期計(jì)劃、維護(hù)窗口更新和變更成功的通知5。作為一個(gè)監(jiān)控服務(wù),SOC團(tuán)隊(duì)需要了解變更,這樣他們就不會(huì)在變更失敗時(shí)過(guò)度反應(yīng)。
(4)編制必要的人員編制、培訓(xùn)和教育程序文件。具體的第一年計(jì)劃。一旦這樣做了,制定一個(gè)三年計(jì)劃,并假設(shè)您將擁有高于平均水平的SOC分析師的高需求,而事件響應(yīng)往往會(huì)耗盡人們的精力。注意,一個(gè)人的SOC不是SOC。通常是一個(gè)極有動(dòng)力的人,他會(huì)做出英勇的行為,但最終卻會(huì)精疲力竭,或者是一個(gè)人在管理一個(gè)SIEM。
(5)進(jìn)行當(dāng)前數(shù)據(jù)源調(diào)查。識(shí)別數(shù)據(jù)源、它們的日志配置、資產(chǎn)、應(yīng)用程序、資產(chǎn)映射的應(yīng)用程序、數(shù)據(jù)或日志是否適合SOC。您不應(yīng)該假設(shè)每個(gè)候選數(shù)據(jù)源都得到了很好的工具化,并且具有審計(jì)SOC所需的級(jí)別。
在準(zhǔn)備數(shù)據(jù)源調(diào)查時(shí),請(qǐng)保存描述日志工作方式及其值含義的供應(yīng)商和產(chǎn)品文檔。稍后您將需要這個(gè)細(xì)節(jié)。在此過(guò)程中,您需要了解每個(gè)數(shù)據(jù)源如何向?qū)?lái)的SIEM提供信息:syslog (UDP或TCP)、文件寫入、數(shù)據(jù)庫(kù)表、SNMP陷阱等。
(6)進(jìn)行環(huán)境數(shù)據(jù)庫(kù)存調(diào)查(EDIS):您不僅需要源系統(tǒng)數(shù)據(jù),還需要關(guān)于網(wǎng)絡(luò)、組織、用戶和應(yīng)用程序的元數(shù)據(jù)。數(shù)據(jù)包括用戶及其人員統(tǒng)計(jì)、網(wǎng)絡(luò)地圖、地址范圍、正在使用的應(yīng)用程序、應(yīng)用程序到服務(wù)器的映射以及組織結(jié)構(gòu)圖。這些數(shù)據(jù)源中的許多將通過(guò)自動(dòng)化向SOC和SIEM提供信息,因此確保至少為存儲(chǔ)這些信息的系統(tǒng)獲得“只讀”憑證。
(7)在EDIS審查過(guò)程中,估計(jì)合并用例數(shù)據(jù)源的時(shí)間。
(8)在EDIS評(píng)審過(guò)程中,包括項(xiàng)目特定的行項(xiàng)目,為SOC團(tuán)隊(duì)開發(fā)一個(gè)簡(jiǎn)要說(shuō)明,解釋每個(gè)數(shù)據(jù)源字段集和字段值。
(9)支持SIEM的技術(shù)供應(yīng)過(guò)程。計(jì)劃兩倍于你認(rèn)為第一年需要的數(shù)據(jù)。
a、硬件:包括磁盤和磁盤控制器架構(gòu),受日志記錄需求和SIEM平臺(tái)的影響。
b、虛擬化層:現(xiàn)代虛擬化技術(shù)使您的SIEM虛擬化成為一個(gè)非常有吸引力的選項(xiàng)。在考慮此選項(xiàng)時(shí),根據(jù)數(shù)據(jù)庫(kù)和/或數(shù)據(jù)存儲(chǔ)所需的IOPS來(lái)明確表示數(shù)據(jù)速度非常重要——不要假設(shè)這將由您的基礎(chǔ)設(shè)施團(tuán)隊(duì)來(lái)處理。
c、日志存儲(chǔ)體系結(jié)構(gòu)、腳本和長(zhǎng)期存儲(chǔ)需求。對(duì)于長(zhǎng)期存儲(chǔ),您確實(shí)需要空間超過(guò)速度,因?yàn)槟苌贂?huì)返回超過(guò)90天閾值的數(shù)據(jù)。可靠、安全、大容量的長(zhǎng)期儲(chǔ)存比驚人的速度更重要。高速度需要針對(duì)過(guò)去三天的日志。
d、SIEM和支持軟件。請(qǐng)注意,大多數(shù)主要供應(yīng)商都有自己的預(yù)定義項(xiàng)目計(jì)劃來(lái)實(shí)現(xiàn)他們的軟件,您應(yīng)該充分利用這些計(jì)劃。
(10)花時(shí)間在預(yù)算過(guò)程上。SIEM實(shí)際上是企業(yè)范圍內(nèi)的一個(gè)主要應(yīng)用程序,它與任何企業(yè)項(xiàng)目一樣需要嚴(yán)格的預(yù)算。這意味著先建立一個(gè)第一年的模型,然后是3年的預(yù)測(cè),然后是5年的預(yù)測(cè)。預(yù)算開發(fā)過(guò)程的重要組成部分是開發(fā)所有權(quán)的總成本模型。您需要了解組織的技術(shù)更新模式,以便計(jì)劃系統(tǒng)替換。您應(yīng)該假設(shè)日志存儲(chǔ)每年增長(zhǎng)50%。
(11)應(yīng)用程序和IT資源數(shù)據(jù)供應(yīng)和可能的開發(fā)。在這個(gè)階段,您將設(shè)計(jì)如何將每個(gè)應(yīng)用程序和數(shù)據(jù)源集成到SOC和SIEM中。它通常涉及一些重要的定制開發(fā)工作。每個(gè)數(shù)據(jù)源都有自己的功能,需要某種形式的報(bào)警支持。
(12)為了使這個(gè)過(guò)程很好地工作,找出組織安全狀態(tài)中的漏洞,并對(duì)風(fēng)險(xiǎn)進(jìn)行量化。要做到這一點(diǎn),請(qǐng)找到您的風(fēng)險(xiǎn)管理主題專家(SME)或聯(lián)系人(POC),并與他們合作。
3、審查收集第27頁(yè)的主要數(shù)據(jù)來(lái)源。對(duì)于每個(gè)數(shù)據(jù)源,您都需要以下規(guī)劃和實(shí)現(xiàn)元素:
a.識(shí)別PoC。
b.決定如何收集數(shù)據(jù)源。
c.檢查當(dāng)前的審計(jì)和日志配置是否合適。
d.盡可能估計(jì)數(shù)據(jù)量。
e.確定數(shù)據(jù)是否可以被修剪。
f.從數(shù)據(jù)源中整理數(shù)據(jù)字段,并制定內(nèi)部SOC培訓(xùn)計(jì)劃,使SOC所有人員都能理解數(shù)據(jù)源。
g.根據(jù)需要,實(shí)現(xiàn)必要的變更控制,以配置數(shù)據(jù)源向SIEM報(bào)告。
4. 構(gòu)建日志體系結(jié)構(gòu)、源數(shù)據(jù)收集交付、SIEM和日志部署計(jì)劃。有關(guān)SIEM部署檢查表的更多信息,請(qǐng)參見第194頁(yè)。同時(shí),簡(jiǎn)要:
a.根據(jù)與您的業(yè)務(wù)模型、獨(dú)特的數(shù)據(jù)源、遵從性需求和InfoSec程序相關(guān)的用例構(gòu)建的評(píng)分模型,執(zhí)行軟件和供應(yīng)商選擇。
b.審查審計(jì)立場(chǎng),并為環(huán)境中提供數(shù)據(jù)的每個(gè)系統(tǒng)構(gòu)建每秒事件(EPS)評(píng)級(jí)。然后計(jì)劃50%的增長(zhǎng),這樣你的解決方案就能經(jīng)受住“事件風(fēng)暴”。在配置了源系統(tǒng)的審計(jì)級(jí)別之后,確定EPS是非常重要的!
c.提供硬件和存儲(chǔ)平臺(tái)并實(shí)現(xiàn)。
d.監(jiān)控?cái)?shù)據(jù)提要、報(bào)告和系統(tǒng)響應(yīng)時(shí)間。
e.為商品源構(gòu)建數(shù)據(jù)集成計(jì)劃,并仔細(xì)選擇定制源。例如,ERP應(yīng)用程序可能不受支持,因此您可能需要開發(fā)一個(gè)數(shù)據(jù)庫(kù)查詢來(lái)從審計(jì)表中提取數(shù)據(jù)、實(shí)現(xiàn)審計(jì)、測(cè)試、開發(fā)一種方法來(lái)將當(dāng)前數(shù)據(jù)存檔到歷史表,并進(jìn)行監(jiān)視,以確保查詢過(guò)程對(duì)系統(tǒng)的影響最小。
5. 構(gòu)建用例:
a.在這本書中有整整一章是關(guān)于構(gòu)建用例的。回顧所有這些材料,并將其與您選擇的平臺(tái)中的用例進(jìn)行比較。
b.計(jì)劃如何實(shí)現(xiàn)供應(yīng)商定義的用例,因?yàn)檫@些用例應(yīng)該提供基線覆蓋率。
c.預(yù)測(cè)實(shí)現(xiàn)您自己的自定義用例所需的工作量和數(shù)據(jù)源。
d.從那里,對(duì)實(shí)現(xiàn)進(jìn)行優(yōu)先級(jí)排序,這樣您就有了支持定義掙值的項(xiàng)目度量。
6. 構(gòu)建您的響應(yīng)流程,該流程由到達(dá)的各種數(shù)據(jù)和您的需求所支持。
a.響應(yīng)過(guò)程將由您的安全程序和您正在遵循的適用標(biāo)準(zhǔn)驅(qū)動(dòng)。
b.規(guī)劃過(guò)程的這一部分應(yīng)該回答這樣的事件解決問(wèn)題:“當(dāng)我們從系統(tǒng)B獲得條件A時(shí),分析人員要做什么,系統(tǒng)管理員需要什么數(shù)據(jù)來(lái)解決事件?”
c.實(shí)際上,將數(shù)據(jù)拉入SIEM的過(guò)程將為SOC功能提供許多需要處理的場(chǎng)景。當(dāng)您構(gòu)建這些過(guò)程時(shí),確保您關(guān)注的是結(jié)果——需要實(shí)現(xiàn)的目標(biāo)是什么。
7. 構(gòu)建SOC指標(biāo),如第38頁(yè)SOC指標(biāo)中定義的那樣。
8. 建立并實(shí)施你的持續(xù)培訓(xùn)計(jì)劃。
a.培訓(xùn)是一個(gè)持續(xù)的過(guò)程。SOC技能需要隨著攻擊者技能和判定能力的提高而提高。確保至少有兩級(jí)教育的預(yù)算。為高級(jí)員工提供優(yōu)質(zhì)的教育,然后為初級(jí)員工提供OTJ培訓(xùn),包括知識(shí)轉(zhuǎn)移、短期課程和以工作技能為重點(diǎn)的教育。調(diào)查當(dāng)?shù)厣鐓^(qū)大學(xué)的勞動(dòng)力教育計(jì)劃和能力。
b.有幾種開源或非常低成本的選擇。考慮一下ENISA, SecurityTube, SANS Cyber Aces, Cybrary, local BSides conferences, DerbyCon, and the annual Security Onion conference作為更便宜的教育選擇。
五、思考并準(zhǔn)備好回答棘手的問(wèn)題
為了資助SecOps、SIEM和SOC,您無(wú)疑將面臨許多問(wèn)題。以下是我多年來(lái)被問(wèn)到的一些問(wèn)題,經(jīng)過(guò)壓縮后將發(fā)表。在建立資金請(qǐng)求時(shí)確定答案。
1. 什么也沒有發(fā)生。我們?yōu)槭裁匆@么做?你怎么能肯定什么也沒發(fā)生呢?作為一個(gè)可能的答案,試試這些。不是如果,而是什么時(shí)候。”
2. 團(tuán)隊(duì)將如何檢測(cè)和響應(yīng)安全問(wèn)題、事件和數(shù)據(jù)泄漏?我們以前是怎么做的?這不正是系統(tǒng)管理員所做的嗎?
3.該組織去年發(fā)生的事件是否產(chǎn)生了任何費(fèi)用?病毒爆發(fā)?我們的同行和競(jìng)爭(zhēng)對(duì)手為此付出了什么代價(jià)?
4. 有多少處于哪個(gè)“級(jí)別”的用戶受到某個(gè)事件的負(fù)面影響(比如生產(chǎn)力下降)?
5. 你將如何衡量自己,并獲得IT平衡計(jì)分卡?作為一種可能的方法,詢問(wèn)您是否可以在SOC charter開發(fā)過(guò)程中使用業(yè)務(wù)記分卡。
6. 團(tuán)隊(duì)將如何確定哪些警報(bào)條件優(yōu)先于其他條件——誰(shuí)贏了?(提示:與關(guān)鍵業(yè)務(wù)流程和收入流保護(hù)相關(guān)的資產(chǎn)價(jià)值)。
7. 我以為我們?nèi)ツ暝诎踩匣薠。你為什么想要更多?
8. 我知道我們沒有任何值得偷的東西。為什么我們需要做越來(lái)越多的安全“存根”?
9. 這些東西不是花了幾百萬(wàn)嗎?
10. 我們正在進(jìn)行脆弱性評(píng)估。難道這還不夠嗎?如果你沒有積極及時(shí)地進(jìn)行補(bǔ)救,那么就沒有。
11. 那些安全人員一直在說(shuō)不,所以這次我要對(duì)他們說(shuō)不。所以在那里。
12. 我們可以成功地以1/8的成本外包出去,對(duì)吧?畢竟,供應(yīng)商就是這么說(shuō)的。你為什么不同意他們?他們不是專家嗎?
13. SOC將如何為我們解決業(yè)務(wù)問(wèn)題?
14. SOC是什么樣子的,第1年,第3年,第5年?
15. 我不想買更貴的安全人員,只讓他們辭職。你打算如何留住員工?倦怠?摩擦?內(nèi)部轉(zhuǎn)移?我最近在一個(gè)安全會(huì)議上聽說(shuō),當(dāng)人們接受SOC工作時(shí),他們計(jì)劃在18個(gè)月內(nèi)辭職。
16. 你怎么知道你已經(jīng)成功了呢?SOC的成功和失敗是什么樣子的?(或者是大筆的證券購(gòu)買?)
17. 你又和審計(jì)員談過(guò)了嗎?他們?nèi)ツ暾f(shuō)過(guò)一些關(guān)于這個(gè)的事情。我買了一個(gè)新的防火墻。
18. 先給我看看劇本——你能做到嗎?完成后再回來(lái)。
19. 這是外包的,是“X公司”的責(zé)任,不是我們的。我們沒有責(zé)任,因?yàn)檫@是外包供應(yīng)商的責(zé)任,而且是在云/供應(yīng)商合同中。
20.你能用三分之一的錢做什么?因?yàn)槲覀冎挥羞@些。
21. 去年我們?cè)赟OX法案上花了350萬(wàn)美元。沒有更多!
六、收集重要的數(shù)據(jù)源
有許多基線系統(tǒng)需要監(jiān)控,因?yàn)樗鼈兇砹嗽谑录行枰年P(guān)鍵數(shù)據(jù)源,并且支持遵從性。這是EDIS過(guò)程的一部分。這些需要收集的資料系統(tǒng)和數(shù)據(jù)來(lái)源至少是:
1. DNS活動(dòng),首先關(guān)注內(nèi)部到外部活動(dòng)(約占網(wǎng)絡(luò)DNS請(qǐng)求/響應(yīng)流量的8%到10%)。
2.? Windows域控制器安全日志。
3.大多數(shù)(如果不是全部)Windows成員服務(wù)器。
4.工作站上的帳戶生命周期、流程執(zhí)行和狀態(tài)指示器。此項(xiàng)目最好使用Windows事件轉(zhuǎn)發(fā)和事件訂閱來(lái)完成,因?yàn)檫@是Windows中內(nèi)置的本機(jī)功能,可以防止部署另一個(gè)代理。
5. 邊界防火墻。至少,任何出站“拒絕”、接受和拒絕DMZ的流量以及平臺(tái)更改。如果您有容量,也可以收集出站接受事件,前提是不能為通信流獲得更好的數(shù)據(jù)源。例如,如果您有一個(gè)代理,如果您可以獲得代理日志,您可以考慮不記錄防火墻數(shù)據(jù)到/從代理。代理日志優(yōu)于防火墻日志,因?yàn)樗鼈兪菓?yīng)用程序感知的,并且是用戶可歸屬的,而防火墻數(shù)據(jù)通常不是用戶可歸屬的。
6. 數(shù)據(jù)庫(kù)帳戶活動(dòng)和帳戶管理。
7. 對(duì)于Linux,至少要收集sudo、auth和authpriv日志。
8. 防病毒集中控制臺(tái)數(shù)據(jù)。
9. 轉(zhuǎn)發(fā)(出站)代理數(shù)據(jù)。對(duì)于代理,驗(yàn)證系統(tǒng)是否記錄了用戶代理、引用者、URI查詢字符串和允許/拒絕決策。如果代理理解站點(diǎn)類型,這也很有用。
10. “在云中”編輯文檔,比如谷歌的GSuite或Office 365。這意味著誰(shuí)觸摸了哪個(gè)文件以及如何觸摸。
11. 共享存儲(chǔ)文件系統(tǒng)活動(dòng),如誰(shuí)觸摸了哪個(gè)文件以及如何為用戶和進(jìn)程公開共享。
12. VPN的活動(dòng)。
13. DHCP的事務(wù)。
14. 網(wǎng)絡(luò)設(shè)備認(rèn)證通常通過(guò)RADIUS或TACACS+進(jìn)行。此外,網(wǎng)絡(luò)更改檢測(cè)通常來(lái)自Syslog事件。
一旦您將自己的“必須擁有”添加到此列表中,您的下一個(gè)任務(wù)就是獲取每個(gè)源的每日數(shù)據(jù)量。成交量有三個(gè)因素:每天事件的平均事件寬度,以及典型的峰值或峰值時(shí)間。
七、有用的MBA概念:SWOT和PESTL
在設(shè)計(jì)、規(guī)劃和構(gòu)建SOC時(shí),有兩個(gè)業(yè)務(wù)管理概念可以提供幫助:SWOT和PESTL。
SWOT分析
SWOT是一種戰(zhàn)略規(guī)劃技術(shù),用于幫助組織識(shí)別優(yōu)勢(shì)、劣勢(shì)、機(jī)會(huì)和威脅,每個(gè)經(jīng)理都應(yīng)該了解這些,并準(zhǔn)備在戰(zhàn)略規(guī)劃練習(xí)中使用。構(gòu)建SOC是一項(xiàng)內(nèi)部業(yè)務(wù)風(fēng)險(xiǎn),受到內(nèi)部和外部壓力的雙重影響。SWOT分析將改進(jìn)您的SOC業(yè)務(wù)案例,也將幫助您進(jìn)行計(jì)劃,如果做得好,還可以幫助確定將對(duì)組織發(fā)起攻擊的對(duì)手。下面是一個(gè)非常簡(jiǎn)短的例子,讓您了解SOC項(xiàng)目的SWOT分析是什么樣子的。
表1 SWOT分析實(shí)例
PESTL分析
PESTL(政治、經(jīng)濟(jì)、社會(huì)文化、技術(shù)和法律)分析是宏觀經(jīng)濟(jì)和宏觀環(huán)境因素推動(dòng)組織的框架。戰(zhàn)略管理、市場(chǎng)營(yíng)銷和業(yè)務(wù)開發(fā)團(tuán)隊(duì)都需要使用它,他們需要對(duì)組織在特定的業(yè)務(wù)風(fēng)險(xiǎn)中如何執(zhí)行有堅(jiān)實(shí)的理解。PESTL分析將幫助SOC從兩個(gè)維度進(jìn)行規(guī)劃:組織消耗或生產(chǎn)的技術(shù)的變化和速度,以及組織運(yùn)行和存在需要監(jiān)視的立法或監(jiān)管環(huán)境。
八、資助SOC
永遠(yuǎn)記住,一個(gè)組織有一個(gè)特定的使命或目標(biāo),它在使命聲明中闡明了一組目標(biāo)來(lái)實(shí)現(xiàn)它的目標(biāo)。由于SOC團(tuán)隊(duì)很少是利潤(rùn)中心,它應(yīng)該確保資金請(qǐng)求與組織和支持業(yè)務(wù)的應(yīng)用程序保持一致。
理解應(yīng)用程序堆棧。SOC領(lǐng)導(dǎo)團(tuán)隊(duì)需要了解組織是如何從其價(jià)值鏈中獲得資金的,并相應(yīng)地了解SOC可能從資本支出(CapEx)和運(yùn)營(yíng)支出(OpEx)中獲得多少IT支出。實(shí)際上,這意味著您的團(tuán)隊(duì)需要一個(gè)業(yè)務(wù)應(yīng)用程序的臨界性清單,然后是服務(wù)器、數(shù)據(jù)庫(kù)、存儲(chǔ)和支持這些應(yīng)用程序的網(wǎng)絡(luò)連接的映射。有了這個(gè)模型,您就可以調(diào)整監(jiān)控控制、功能和工具,以支持這些應(yīng)用程序的可用性、完整性和安全性。您的災(zāi)難恢復(fù)計(jì)劃/業(yè)務(wù)連續(xù)性計(jì)劃(DRP/BCP)團(tuán)隊(duì)可能非常有價(jià)值,因?yàn)樗麄儗?duì)應(yīng)用程序堆棧有一個(gè)基于關(guān)鍵度的視圖。如果你沒有一個(gè)DRP/BCP團(tuán)隊(duì),你可以自己構(gòu)建應(yīng)用程序清單,目的是將工作用于SecOps,因?yàn)樗鼘⒃谛枰謴?fù)事件時(shí)提供幫助。
例如,您的組織可能有一個(gè)電子商務(wù)的存在。電子商務(wù)鏈上有幾個(gè)組件:數(shù)字店面、訂單處理、向客戶和供應(yīng)商發(fā)送消息、WAN鏈接、后端數(shù)據(jù)存儲(chǔ)、管理所有這些IT組件的員工,以及保護(hù)信用卡交易。僅在該列表中,就有數(shù)十個(gè)服務(wù)器、技術(shù)、人員和流程。因此,如果安全團(tuán)隊(duì)能夠?qū)⒈O(jiān)視和事件響應(yīng)置于適當(dāng)?shù)奈恢茫员闼軌蛟诨€中檢測(cè)違規(guī)行為,并確保組件正在工作,那么它就支持了公司的使命和業(yè)務(wù)銷售商品和服務(wù)的能力。
確定資助SecOps的原因:資助安全操作和soc和SIEM平臺(tái)所需的日志基礎(chǔ)設(shè)施的原因有很多很多。
1、法規(guī)遵從性(HIPAA/HITECH、Sarbanes Oxley和其他)。
2、先前的事件可能會(huì)引發(fā)資金事件。
3、出于真實(shí)的愿望或恐懼反應(yīng)的管理指令。
4. 您選擇的標(biāo)準(zhǔn)定義了它的結(jié)構(gòu),并因此被審計(jì),可能需要SOC和一個(gè)日志平臺(tái)。
5. 給定系統(tǒng)中的日志是易變的。有些系統(tǒng),比如Windows域控制器,只保存幾個(gè)小時(shí)的日志數(shù)據(jù),然后數(shù)據(jù)滾動(dòng)并永遠(yuǎn)丟失。有些系統(tǒng)將數(shù)據(jù)保存在內(nèi)存中、緩沖區(qū)中,當(dāng)電源或電源丟失時(shí),數(shù)據(jù)也會(huì)丟失。
6. 沒有日志,你沒有能力回到歷史,發(fā)現(xiàn)問(wèn)題一安全,操作,或改變有關(guān)。
7. 事實(shí)上,這是“正確的做法”。
九、安全操作中心需要成本
在構(gòu)建安全操作中心時(shí),需要考慮許多成本組件。下面是許多常見的成本組成部分。對(duì)于每種成本,在開發(fā)“構(gòu)建vs.購(gòu)買”分析時(shí),請(qǐng)仔細(xì)分析您當(dāng)前的環(huán)境。
直接成本——在這個(gè)列表下面有更多的信息。
1. 內(nèi)部人員編制。一年365天,每周7天,每天24小時(shí),至少需要5個(gè)人,使用最簡(jiǎn)單的人員配置模式。目標(biāo)9名員工和1名SOC經(jīng)理。
2. 廠商中立的訓(xùn)練。例如SANS、Security University、CompTiA CASP和ISC2 SSCP。
3.產(chǎn)品培訓(xùn):SIEM解決方案有供應(yīng)商提供的培訓(xùn)。
4. 工具:桌面基礎(chǔ)設(shè)施、操作系統(tǒng)、Office、SIEM許可證和調(diào)查工具。
5. 訂閱:soc將有幾個(gè)訂閱服務(wù),特別是威脅情報(bào)服務(wù)。
6. 硬件:服務(wù)器、存儲(chǔ)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施。注意典型的硬件更新周期——通常是4年。
7. 取證硬件:取證硬件有獨(dú)特的要求,因?yàn)檫@些系統(tǒng)通常被隔離在一個(gè)鎖著的房間里的小局域網(wǎng)中。例如,一個(gè)名為FRED的自定義取證工作站可能要花費(fèi)5000美元以上,在中央存儲(chǔ)上存儲(chǔ)圖像可能要花費(fèi)很多tb,而寫阻止程序包很容易花費(fèi)1000美元以上。
8. 包括年度維護(hù)的軟件許可費(fèi)用:軟件包括SOC支持、各種管理控制臺(tái)的附加許可、SIEM平臺(tái)、攝取成本、取證包、PDF生成應(yīng)用程序、Bl7工具和eDiscovery功能。
9. 設(shè)施:SOC室,家具,共享大格式顯示器或投影儀,和接近卡或可能的生物特征門控制。此外,取證分析空間應(yīng)該有自己獨(dú)立的鎖和接近卡控制。
10. 升級(jí):每年升級(jí)一經(jīng)常在SoW的基礎(chǔ)上由供應(yīng)商處理。
11. 供應(yīng)商幫助:隨著時(shí)間的推移,您將需要供應(yīng)商幫助提供新的內(nèi)容、改進(jìn)的報(bào)告、更多的培訓(xùn)以及可能的升級(jí)。
間接成本:
1. 招聘成本,如構(gòu)建團(tuán)隊(duì),招聘和員工加薪。
2. 初始項(xiàng)目的SIEM選擇成本,包括特定的、審查和選擇主要SOC工具集的勞動(dòng)成本。
3.開展對(duì)SOC人員的工作培訓(xùn)。注意,這將占用關(guān)鍵的中小企業(yè)和時(shí)間的承諾不能低估。
4. 集成新的數(shù)據(jù)源,這可能需要在平臺(tái)中創(chuàng)建定制的數(shù)據(jù)解析器、警報(bào)和報(bào)告。
5. 定期的內(nèi)部或外部審計(jì)支持。
人員成本考慮:安全操作中心需要由熟練的信息安全分析師組成。閃亮的SIEM解決方案不能解決問(wèn)題,受過(guò)教育和經(jīng)驗(yàn)豐富的人可以。自從2001年參加了InfoSec,我可以確定它就是這么簡(jiǎn)單。高技能的人可以用一個(gè)適中的產(chǎn)品集產(chǎn)生比新手用一個(gè)超級(jí)昂貴的閃亮的工具集更準(zhǔn)確和及時(shí)的結(jié)果。
基本工資、福利和不可避免的員工流動(dòng)打亂了成本模型。美國(guó)勞工統(tǒng)計(jì)局(US Bureau of Labor Statistics)的數(shù)據(jù)顯示,信息安全分析師2016年的基本工資為92,500美元,2017年為95,510美元。如果你的內(nèi)部管理費(fèi)用是管理費(fèi)用的30%,那么一個(gè)負(fù)擔(dān)過(guò)重的職位每年的費(fèi)用是124,163美元。按照這個(gè)速度,以2017年的美元計(jì)算,五個(gè)人每年需要620815美元。glassdoor.com網(wǎng)站2016年發(fā)布的一項(xiàng)研究可以幫助了解招聘環(huán)境:公司花費(fèi)4000美元通過(guò)公開招聘填補(bǔ)一個(gè)職位空缺,有52天的空缺期,47%的候選人會(huì)拒絕最初的報(bào)價(jià)。進(jìn)一步的分析發(fā)現(xiàn),50%的員工離職是因?yàn)樗麄兊慕?jīng)理。這些數(shù)字有助于定義如果您找不到FTE或需要替換FTE,臨時(shí)承包商的成本是多少。為了將成本降至最低,應(yīng)集中精力讓SOC人員通過(guò)投資期,并通過(guò)盡快讓他們開始處理特定SOC服務(wù)和IR任務(wù),使他們進(jìn)入回報(bào)期。
人員成本進(jìn)一步受到覆蓋模型的影響。如果團(tuán)隊(duì)使用24/7/365,那就需要4.52人,或者至少5個(gè)FTE來(lái)配備SOC的人員,并由一個(gè)人來(lái)配備設(shè)施。確實(shí)是一份孤獨(dú)的工作。這一數(shù)值是基于每年8760小時(shí)、兩周帶薪休假和8天假期得出的,其中48.4周是工作時(shí)間,即1936年的人均工作時(shí)間。實(shí)際上,任何24小時(shí)運(yùn)作的團(tuán)隊(duì)都應(yīng)該至少安排9個(gè)人來(lái)適應(yīng)假期、病假和員工流動(dòng)。五個(gè)人將負(fù)責(zé)輪班,剩下的三個(gè)人將在高活動(dòng)時(shí)間提供額外的保險(xiǎn),比如早上7點(diǎn)到晚上7點(diǎn)和周六的部分時(shí)間。這一估計(jì)中缺少的是“管理”時(shí)間的百分比。管理時(shí)間包括所有其他公司需要完成的任務(wù),這些任務(wù)會(huì)減少實(shí)際的工作任務(wù)。
與其他技術(shù)行業(yè)相比,事故響應(yīng)的燃盡率非常高。因此,通過(guò)不同的SOC服務(wù)來(lái)補(bǔ)償你的SOC前線,使他們?cè)诠ぷ髀氊?zé)上有差異。此外,尋找那些渴望升職,而不是每天都做同一件事的分析師。為了留住人才,SOC經(jīng)理應(yīng)該經(jīng)常評(píng)估改變工作職責(zé)的機(jī)會(huì)。
設(shè)施/空間:大多數(shù)組織的辦公空間都有每平方英尺的價(jià)格,這應(yīng)該在成本結(jié)構(gòu)中。例如,2016年佐治亞州亞特蘭大市每平方英尺的平均成本為A類空間20.01美元,B類空間16.36美元。如果假設(shè)共享工作組區(qū)域有90平方英尺,并且有兩個(gè)工作空間可供五人輪轉(zhuǎn)團(tuán)隊(duì)使用,那么對(duì)于兩個(gè)人SOC,每月的辦公空間成本為2944.80美元。然而,還有其他的單個(gè)購(gòu)買成本。例如,你可能想要兩個(gè)大屏幕顯示器和個(gè)人電腦來(lái)運(yùn)行它們,所有的東西都掛在墻上。這可能是一個(gè)簡(jiǎn)單的$4,000事件成本項(xiàng)目。
廠商中立的正規(guī)教育:假設(shè)您能找到安全人員,您仍然可能需要在SOC操作方面對(duì)他們進(jìn)行培訓(xùn)。截至2018年8月,SANS研究所的最佳課程之一是“SEC511:持續(xù)監(jiān)控和安全操作”(Continuous Monitoring and Security Operations),并獲得GIAC GMON認(rèn)證。本課程涵蓋了每個(gè)SOC工作人員所需的實(shí)踐技能。我可以證明,完成本課程和相應(yīng)驗(yàn)證的每個(gè)分析師的質(zhì)量和速度都有可衡量的改進(jìn)。2018年8月的成本為6939美元。另外,在考慮培訓(xùn)成本時(shí),確保將差旅和酒店費(fèi)用包括在內(nèi),并估計(jì)為18009美元。留在第六天,為SEC511硬幣競(jìng)爭(zhēng)!
產(chǎn)品培訓(xùn):各大SIEM供應(yīng)商都有一系列的產(chǎn)品培訓(xùn)課程。這些通常包括在最初的建議和實(shí)現(xiàn)中。新員工入職時(shí)將會(huì)有成本。為了支付費(fèi)用,我申請(qǐng)了一個(gè)培訓(xùn)學(xué)分,包括升級(jí),系統(tǒng)增強(qiáng)活動(dòng),或者添加新產(chǎn)品組件。
組織專項(xiàng)培訓(xùn):在職培訓(xùn)是一個(gè)持續(xù)的過(guò)程。有許多研究對(duì)開發(fā)健壯的和可重用的培訓(xùn)的成本進(jìn)行了量化。英國(guó)人才發(fā)展協(xié)會(huì)(Association for Talent development)的數(shù)據(jù)列出了43至185小時(shí)的教學(xué)演示(一門正式課程)所需的一小時(shí)授課時(shí)間,影響這一時(shí)間的因素很多。不要輕視它,也不要忽視它。為了對(duì)學(xué)習(xí)型組織及其對(duì)公司的價(jià)值有一個(gè)簡(jiǎn)明的認(rèn)識(shí),請(qǐng)回顧大衛(wèi)·戈德史密斯在《付費(fèi)思考》一書中的第七章。
桌面:分析師硬件、顯示器(越多,越快樂(lè)!),監(jiān)控武器,客戶端軟件,幾十個(gè)應(yīng)用程序的分析師許可證,家具,照明。想想Quad 24”或IT顯示,和Ergotron類型的Quad手臂。好了!
供應(yīng)商支持:為安全產(chǎn)品套件、用例實(shí)現(xiàn)和持續(xù)升級(jí)過(guò)程提供專門的供應(yīng)商支持。這些支持關(guān)系通常以每小時(shí)為基礎(chǔ)定價(jià),每周的小時(shí)數(shù)最少。如果您的SIEM供應(yīng)商收取每小時(shí)225美元的費(fèi)用,并以最少4小時(shí)的時(shí)間銷售這種支持安排,則每年的支持成本為46,800美元。
基礎(chǔ)設(shè)施:后端服務(wù)器、傳感器平臺(tái)、網(wǎng)絡(luò)儀表(如TAP)和多層存儲(chǔ)。在服務(wù)器維護(hù)之前3-4個(gè)月計(jì)劃一次服務(wù)器硬件更新,以確保您不會(huì)為服務(wù)器維護(hù)窗口之外的在線服務(wù)器支付額外費(fèi)用。如果你需要六臺(tái)服務(wù)器,每臺(tái)8000美元,那么僅硬件就需要48000美元的初始資本支出。計(jì)劃每年20%的維護(hù),并在四年后更新技術(shù)。我完成的大多數(shù)SIEM實(shí)現(xiàn)都是使用VMware 5和6進(jìn)行虛擬化的。這個(gè)模型可能非常成功——但是您需要增加管理程序的成本。當(dāng)涉及到實(shí)際容量時(shí),為您認(rèn)為需要的CPU和內(nèi)存分別增加2和4 GB,并僅在該服務(wù)器上虛擬化您的平臺(tái)。你將獲得巨大的長(zhǎng)期利益。這些功能包括卷快照、在技術(shù)更新期間復(fù)制到新平臺(tái),以及更輕松地匹配驅(qū)動(dòng)器配置的能力。
集成新的數(shù)據(jù)源:為了在新系統(tǒng)上線時(shí)將影響降到最低,請(qǐng)將SOC工程人員合并到IT供應(yīng)流程中。目標(biāo)是確保新的系統(tǒng)或主要的系統(tǒng)更新能夠向SIEM/SOC團(tuán)隊(duì)提供相關(guān)的日志數(shù)據(jù)。這個(gè)人工費(fèi)用應(yīng)該分配給應(yīng)用程序或系統(tǒng),而不是SecOps,并且是SI EM生命周期中的一個(gè)循環(huán)成本項(xiàng)目。
內(nèi)容開發(fā):在SIEM解決方案中開發(fā)新的和細(xì)化當(dāng)前用例。當(dāng)前的用例也將根據(jù)來(lái)自威脅搜索團(tuán)隊(duì)的改進(jìn)進(jìn)行更新。您對(duì)輸入數(shù)據(jù)、所需內(nèi)容、分析、規(guī)則、通知、SOC操作和期望結(jié)果的定義越好,成本就越準(zhǔn)確,成功的機(jī)會(huì)就越大。
SIEM軟件:SIEM平臺(tái)許可證通常是由規(guī)模因素驅(qū)動(dòng)的。典型的因素是每秒事件(EPS)、每天GB或監(jiān)控設(shè)備計(jì)數(shù)的“攝取率”。您將發(fā)現(xiàn)有一類與安全無(wú)關(guān)的事件,它們與真正需要的數(shù)據(jù)一起到達(dá)SIEM。根據(jù)許多因素(事件成本、處理能力、日志存儲(chǔ)、事件寬度),您可能希望開發(fā)分層日志記錄方法。這里的成本差別很大,從每年2萬(wàn)美元到更高。您定義的環(huán)境越好,您從供應(yīng)商那里得到的評(píng)估就越好。
SIEM軟件升級(jí):企業(yè)系統(tǒng)的某些升級(jí)可以通過(guò)更新過(guò)程執(zhí)行,而有些則不能。根據(jù)我在5個(gè)不同平臺(tái)上的經(jīng)驗(yàn),我建議將復(fù)雜的升級(jí)(如重大升級(jí))外包給SIEM供應(yīng)商可能更好。一個(gè)典型的SoW將是40到80個(gè)小時(shí),按照供應(yīng)商的價(jià)格加上旅行和費(fèi)用。確保您與您的供應(yīng)商充分研究這一點(diǎn),并將至少一個(gè)年度升級(jí)事件集成到您的平臺(tái)上。
審計(jì)證據(jù)支持:SOC經(jīng)常被要求支持安全事件數(shù)據(jù)和事件的報(bào)告,以直接支持內(nèi)部或外部審計(jì)。這一特定角色的人員配備與監(jiān)管環(huán)境和審計(jì)人員提出要求的頻率密切相關(guān)。要估計(jì)這一點(diǎn),請(qǐng)確定您的組織每年響應(yīng)多少次審計(jì)以及支持這些審計(jì)所需的報(bào)告。SOC團(tuán)隊(duì)?wèi)?yīng)該始終記錄他們的時(shí)間來(lái)支持審計(jì),因?yàn)檫@是對(duì)業(yè)務(wù)的一種服務(wù)。如果你有重復(fù)審計(jì)與一個(gè)特定的單位,然后要求會(huì)計(jì)費(fèi)用代碼,以證明成本的SOC,以支持業(yè)務(wù)單位。
十、內(nèi)部、外包、混合SOC
現(xiàn)在您已經(jīng)對(duì)構(gòu)建安全操作中心的成本和大多數(shù)長(zhǎng)期因素有了一個(gè)結(jié)構(gòu)化的輪廓,您可以更好地考慮外包部分或全部SOC功能的利弊。以下是一些基于經(jīng)驗(yàn)的有關(guān)聘用外判管理保安服務(wù)供應(yīng)商(Managed Security Service Provider (MSSP's))的意見:
1. 啟動(dòng)時(shí)間會(huì)有影響。MSSPs實(shí)際上在您的網(wǎng)絡(luò)上部署了部分到完整的SIEM解決方案。每個(gè)數(shù)據(jù)源都需要集成到平臺(tái)中,需要部署硬件,您的組織:仍然需要定義自己的事件響應(yīng)流程。
2. 一個(gè)MSSP在調(diào)查警報(bào)時(shí)只能走這么遠(yuǎn),如果你幸運(yùn)的話,MSSP可以很好地覆蓋50%到70%的警報(bào)情況,并將使你的組織參與到15%的觀察警報(bào)中。
3.mssp永遠(yuǎn)不會(huì)像您那樣了解您的網(wǎng)絡(luò),而且您無(wú)法輕松量化這對(duì)其服務(wù)提供質(zhì)量的影響。mssp也不太可能知道網(wǎng)絡(luò)上發(fā)生了什么變化,因?yàn)樗麄兒苌賲⑴c更改控制。
4. mssp通過(guò)定義的SLA和報(bào)告關(guān)系與您一起工作。他們不能代替你自己的員工可以直接接觸到一個(gè)系統(tǒng)托管一這是一個(gè)寶貴的好處有內(nèi)部人員運(yùn)行在一個(gè)安全操作的角色。
5. 他們對(duì)警報(bào)靈敏度和配置的看法與您不同,因?yàn)樗麄儍A向于關(guān)注“真正的威脅”條件,而忽略或忽略許多其他條件。您對(duì)SOC的使用應(yīng)該包括策略問(wèn)題、威脅捕獲、審計(jì)報(bào)告,以及從SIEM將消耗的大量數(shù)據(jù)中收集操作價(jià)值。
6. 如果任務(wù)不經(jīng)常發(fā)生,那么有些任務(wù)應(yīng)該外包,比如系統(tǒng)分析。然而,今天的戰(zhàn)場(chǎng)空間告訴我們,我們需要的是內(nèi)存映像,而不是磁盤映像。這是幾乎不可能的第三方外包MSSP收集,但可能在他們的能力分析。
7. 您不能將您組織所關(guān)心的資產(chǎn)的安全性的責(zé)任委托給第三方,不管別人如何試圖說(shuō)服您您可以這么做。您可以授權(quán)進(jìn)行操作,但不承擔(dān)系統(tǒng)安全的責(zé)任。
8. 7/24/365由第三方監(jiān)控比建立自己的6-8人團(tuán)隊(duì)的勞動(dòng)力成本更低。這是無(wú)法回避的事實(shí),如果你是被迫外包的,意識(shí)到這個(gè)論點(diǎn),并想出方法來(lái)回應(yīng)這個(gè)論點(diǎn)。
9. MSSP也可以執(zhí)行系統(tǒng)升級(jí),并且很可能比你做了更多的升級(jí)。將執(zhí)行年度升級(jí)的一兩個(gè)星期的部署成本考慮在內(nèi)。
10. 最后,你從一個(gè)MSSP關(guān)系中得到了你投入到MSSP關(guān)系中的東西。如果你不投入時(shí)間,那么不要認(rèn)為他們會(huì)給你一流的結(jié)果。
十一、開始狩獵
從歷史上看,SOC將監(jiān)視各種面向預(yù)防的系統(tǒng),如果其中一個(gè)或多個(gè)平臺(tái)向團(tuán)隊(duì)發(fā)出警報(bào),則進(jìn)行響應(yīng)。然后,他們將花時(shí)間驗(yàn)證警報(bào),與系統(tǒng)管理員、所有者或最終用戶進(jìn)行通信,如果情況是突發(fā)事件,他們將作出響應(yīng)。
從2000年開始的“被動(dòng)或被動(dòng)的模式或姿勢(shì)”在今天已經(jīng)不再有效。今天的SOC團(tuán)隊(duì)需要改變他們的關(guān)注點(diǎn),假設(shè)存在可能的破壞方案,變得面向檢測(cè),并主動(dòng)挖掘進(jìn)入他們系統(tǒng)的大量數(shù)據(jù),并主動(dòng)尋找入侵和不當(dāng)行為的模式。先發(fā)制人的威脅搜索是SOC分析員的理想職業(yè)和技能發(fā)展路徑。一旦他們了解了組織的所有數(shù)據(jù)源,知道如何處理警報(bào),并證明他們已經(jīng)建立了研究技能,利用這一點(diǎn),讓他們參與到威脅捕獲中。根據(jù)SOC團(tuán)隊(duì)的操作方式,您可以讓SOC分析師每周執(zhí)行一天、每月執(zhí)行一周,或者采取特定的狩獵路徑。威脅搜索在第167頁(yè)有進(jìn)一步的定義,許多用例從第60頁(yè)開始。
十二、SOC直接支持CSIRT功能
今天,需要開發(fā)某種形式的計(jì)算機(jī)安全事件響應(yīng)小組(CSIRT)功能是不能忽視的。在許多組織或行業(yè)中,CSIRT是由特定的法規(guī)規(guī)定的。現(xiàn)代惡意軟件猖獗、自動(dòng)勒索軟件、工業(yè)間諜、犯罪分子、國(guó)家一級(jí)黑客團(tuán)隊(duì)以及基于數(shù)字的非對(duì)稱戰(zhàn)爭(zhēng)的其他方面,對(duì)CSIRT的需求尤其迫切。聽起來(lái)很聳人聽聞,不是嗎?今天的網(wǎng)絡(luò)罪犯會(huì)利用他們發(fā)現(xiàn)的任何弱點(diǎn),從任何潛在的受害者那里提取無(wú)法追蹤的數(shù)字加密貨幣。不管聳人聽聞的程度如何,都有幾個(gè)理由在您的組織中提倡和構(gòu)建CSIRT功能,而這又得到了SOC功能的支持。
1. SOC提供了一種主動(dòng)檢測(cè)能力,應(yīng)該能夠及早響應(yīng)并限制事件的長(zhǎng)期影響。然后,CSIRT可以協(xié)調(diào)響應(yīng)事件,以確定、控制和減少事件影響為目標(biāo)。此外,CSIRT功能可以將破壞或loCs的指標(biāo)返回給SOC,以便SOC可以執(zhí)行歷史數(shù)據(jù)分析,例如搜索與找到的IP或域名通信的內(nèi)部系統(tǒng)。因此,一個(gè)更成熟的CSIRT和SOC團(tuán)隊(duì)可以利用威脅搜索功能來(lái)尋找并發(fā)現(xiàn)最近出現(xiàn)在網(wǎng)絡(luò)上的惡意代理。
2. CSIRT影響、支持并充分利用安全支出。它有助于確保SOC工具的到位將支持事件響應(yīng)和安全操作。或者換一種說(shuō)法,擁有一個(gè)單一的CSIRT應(yīng)該確保環(huán)境的最佳工具已經(jīng)到位,可以被利用,而其他工具則可以退役,以實(shí)現(xiàn)美元投資的最大化。
3.與內(nèi)部員工溝通時(shí)保持客觀,對(duì)事件進(jìn)行分類,并對(duì)響應(yīng)過(guò)程進(jìn)行優(yōu)先排序。CSIRT需要處理的挑戰(zhàn)之一是人員關(guān)系和保持客觀性。與負(fù)責(zé)以統(tǒng)一和一致的方式執(zhí)行公司政策和程序的人力資源職能一樣,CSIRT需要客觀、執(zhí)行其工作以保護(hù)業(yè)務(wù),并避免偏袒。
4. 最后,監(jiān)管。業(yè)務(wù)環(huán)境中有許多方面要求具備事件響應(yīng)能力。這些包括但不限于:HIPAA/HITECH# PCI DSS 3.2,以及Sarbanes Oxley合規(guī)。
十三、SOC的指標(biāo)
成熟的經(jīng)營(yíng)單位和企業(yè)運(yùn)用各種方法來(lái)衡量經(jīng)營(yíng)單位的效益。SOC也不例外。問(wèn)題是,你如何做到這一點(diǎn),并避免讓員工失去動(dòng)力的有害指標(biāo)?
在《實(shí)用的安全度量標(biāo)準(zhǔn)》一書中。W. Krag Brotby和Gary Hinson提出了關(guān)于度量的幾個(gè)關(guān)鍵點(diǎn)。它們的一些關(guān)鍵定義列于第1.6章:
1. 儀器:是“測(cè)量?jī)x器”的簡(jiǎn)稱,即測(cè)量?jī)x器。
2. 測(cè)量:(動(dòng)詞)確定某物的一個(gè)或多個(gè)參數(shù)。
3. 度量:與一個(gè)或多個(gè)參考點(diǎn)有關(guān)的度量。
在第2.6節(jié)中,他們指出“擁有有效的度量標(biāo)準(zhǔn)使業(yè)務(wù)經(jīng)理能夠?qū)π畔踩龀隼硇缘摹⒚髦堑摹⑸踔潦钦镜米∧_的決策。他們?cè)僖膊荒芡耆蕾囆畔踩珜I(yè)人士或通用的良好實(shí)踐標(biāo)準(zhǔn)、法律、法規(guī)的建議。”
在第3.2節(jié)中,他們聲明“度量標(biāo)準(zhǔn)主要是管理的決策支持工具。好的度量標(biāo)準(zhǔn)提供了有用的、相關(guān)的信息來(lái)幫助人們——主要是,但不完全是,經(jīng)理們——根據(jù)歷史事件(背景)、現(xiàn)在正在發(fā)生的事情(包括可用的資源和約束)以及將來(lái)可能發(fā)生的事情(變化的必要性)的組合來(lái)做出決策。
有許多指標(biāo)和測(cè)量,可以開發(fā)和應(yīng)用于SOC。在設(shè)計(jì)度量時(shí),有幾個(gè)標(biāo)準(zhǔn)。
在開發(fā)度量標(biāo)準(zhǔn)時(shí)考慮這些標(biāo)準(zhǔn)。
1. 度量標(biāo)準(zhǔn)應(yīng)該與作為業(yè)務(wù)單元的SOC的目標(biāo)、目的和使命相關(guān)。這意味著你應(yīng)該能夠用數(shù)字描述你所做的事情,并解釋你沒有測(cè)量的東西。
2. 當(dāng)您評(píng)估您的數(shù)據(jù)、安全用例和度量時(shí),請(qǐng)確保開發(fā)一個(gè)路線圖,其中包括您將度量的內(nèi)容、如何捕獲這些度量、與IT常規(guī)控制和安全程序的聯(lián)系,以及可能的業(yè)務(wù)價(jià)值鏈。然后,指標(biāo)可以為決策提供指導(dǎo)。
3.確保你所衡量的將會(huì)是一個(gè)可衡量的結(jié)果。不要為了測(cè)量而測(cè)量。每一個(gè)指標(biāo)都應(yīng)該告知消費(fèi)者,并設(shè)法改變他們的行為,或者證明當(dāng)前的行為在既定的程序中運(yùn)行良好。在這里,您應(yīng)該清楚地了解您期望度量的使用者基于度量所采取的任何操作。
4. 度量應(yīng)該支持“控件”,因此應(yīng)該與ITGC程序匹配。如果沒有的話,可以參考ISO 27002之類的標(biāo)準(zhǔn)。
5. 壞數(shù)據(jù)比沒有數(shù)據(jù)要好一點(diǎn)點(diǎn)。如果您沒有為需要測(cè)量的數(shù)據(jù)收集任何源數(shù)據(jù),那么就從那里開始,但不要停止。充分利用好數(shù)據(jù)。
6. 避免給分析人員帶來(lái)負(fù)擔(dān),使他們需要記錄過(guò)多的數(shù)據(jù),使用一些人為的方法來(lái)跟蹤他們的工作,比如使用復(fù)雜的電子表格。相反,開發(fā)方法來(lái)挖掘SIEM平臺(tái)、工作流系統(tǒng)、開放調(diào)查編碼和警報(bào)結(jié)束代碼,因?yàn)樗鼈兺ㄟ^(guò)警報(bào)工作。這些方法提供了一種機(jī)制經(jīng)濟(jì)(EoM),因?yàn)榉治鋈藛T正在使用它們自己的工具。此外,遵循EoM原則可以促使您始終利用SIEM平臺(tái)的內(nèi)部功能,從而降低出錯(cuò)的可能性。
7. 從你的業(yè)務(wù)/組織的角度講述你的故事。講故事時(shí),記住聽眾并使用他們能理解的術(shù)語(yǔ)和定義是非常重要的。
8. 我想到了兩個(gè)關(guān)鍵的縮寫詞:
A :聰明一點(diǎn):具體、可衡量;切實(shí)可行、有時(shí)限
B: KISS,要么保持簡(jiǎn)單,山姆/蘇珊。這并不意味著可愛。相反,要確保度量的名稱和度量尺度是明顯的。需要解釋的度量標(biāo)準(zhǔn)不太可能是有效的度量標(biāo)準(zhǔn)。
9. 確定如何構(gòu)建一個(gè)記分卡來(lái)度量組織的信息和技術(shù)安全狀況。只要有可能,就構(gòu)建一個(gè)工具來(lái)演示技術(shù)工具的工作效率。您可能不會(huì)將此工具展示給管理層,但您應(yīng)該準(zhǔn)備好展示。
表2一般SOC指標(biāo)示例
事件響應(yīng)指標(biāo)與SOC指標(biāo)不一樣,因?yàn)樗鼈冊(cè)谠S多情況下決定警報(bào)處理的結(jié)束位置。換句話說(shuō),當(dāng)SOC確定一個(gè)真正的事件時(shí),他們將把它交給一個(gè)事件響應(yīng)函數(shù)。
表3事件響應(yīng)度量實(shí)例
十四、SOC培訓(xùn)、技能、人員配備和角色
有效的安全運(yùn)營(yíng)團(tuán)隊(duì)需要技術(shù)技能,需要具備一定的個(gè)性特征,需要按角色進(jìn)行產(chǎn)品培訓(xùn)。為SOC團(tuán)隊(duì)配備人員是成功的關(guān)鍵。理解這一點(diǎn)很重要,即你不能“制造”忍者級(jí)別的事件處理程序和SOC分析師,他們可以實(shí)時(shí)合成十幾個(gè)數(shù)據(jù)源,并在完成一周的課程并通過(guò)考試后找到“壞人”。這種技能只有在“游戲時(shí)間”中才會(huì)出現(xiàn)。你所能做的就是培養(yǎng)人才,給他們成長(zhǎng)的機(jī)會(huì),并制定策略讓他們留在分析師的位置上。您可以培訓(xùn)人員響應(yīng)特定的警報(bào)類型、處理特定的情況和特定的工作流程。總是會(huì)有“任務(wù)驅(qū)動(dòng)”的工作需要某個(gè)級(jí)別的SOC分析師來(lái)完成。劇本使這種水平的員工更有效率,這反過(guò)來(lái)又給了他們成功,并導(dǎo)致員工想要做更多。這些人是你想要識(shí)別和培養(yǎng)的人。
14.1 入職培訓(xùn)和初步培訓(xùn)
SOC的培訓(xùn)將分為以下幾種:
1. 產(chǎn)品技能:這些是實(shí)際的供應(yīng)商解決方案培訓(xùn)。這是通過(guò)SIEM平臺(tái)上提供的供應(yīng)商或主要的技術(shù)供應(yīng)商,如思科CCNA網(wǎng)絡(luò)行動(dòng)計(jì)劃來(lái)實(shí)現(xiàn)的,因?yàn)樵撜n程材料針對(duì)實(shí)際使用的產(chǎn)品。
2. 與供應(yīng)商無(wú)關(guān)的技能開發(fā):這些技能應(yīng)該包括分析師在不考慮技術(shù)平臺(tái)的情況下完成工作所需的工作角色、任務(wù)和概念。不缺乏教育,如:大學(xué)課程,認(rèn)證課程,如EC-Council認(rèn)證安全分析師,ISACA的認(rèn)證信息安全經(jīng)理,CompTIA網(wǎng)絡(luò)。Security+和CompTIA高級(jí)安全從業(yè)者;SANS的SOC重點(diǎn)培訓(xùn);CyberAces;以及安全大學(xué)提供的各種Q課程。對(duì)于歐洲的讀者,可以參考?xì)W洲信息技術(shù)認(rèn)證學(xué)院(EITCA)和歐盟網(wǎng)絡(luò)與信息安全機(jī)構(gòu)(ENISA)。
3.在職:與職位和團(tuán)隊(duì)相關(guān)的內(nèi)部培訓(xùn),內(nèi)部開發(fā)和交付。
4. 成功與失敗:沒有什么比“做對(duì)了”、阻止壞人或者錯(cuò)過(guò)壞人、然后發(fā)現(xiàn)真相更美好的了。
5. 網(wǎng)絡(luò)靶場(chǎng)操作員培訓(xùn):在一個(gè)專門的大型實(shí)驗(yàn)室提供的強(qiáng)化訓(xùn)練,重點(diǎn)是手的技能發(fā)展。
6. 和許多更多。
您的培訓(xùn)計(jì)劃應(yīng)該包括以上項(xiàng)目的混合,目標(biāo)是確保您的分析師開發(fā)下一節(jié)中列出的所有技能。當(dāng)新員工加入SOC團(tuán)隊(duì)時(shí),您應(yīng)該遵循一個(gè)定義良好的結(jié)構(gòu),以確保他們有最佳的成功機(jī)會(huì)。下面是我在幾個(gè)組織中使用過(guò)的SOC分析人員的入職模型示例。你入職培訓(xùn)的主要目標(biāo)應(yīng)該是培養(yǎng)分析師,這樣他們?cè)?到5周的入職培訓(xùn)后就能在自己的水平上自給自足。
14.2 SOC分析師技能
從歷史上看,成功的IR和SOC人員需要有一個(gè)多樣化的IT背景,應(yīng)該有幾年的IT游戲經(jīng)驗(yàn),需要不斷的培訓(xùn),并擁有各種各樣的技能,以處理SOC將面臨的各種情況。特別是,分析師需要了解如何“連接各個(gè)點(diǎn)”。把點(diǎn)點(diǎn)滴滴串連起來(lái)是一項(xiàng)隨著時(shí)間的推移而發(fā)展起來(lái)的技能。分析人員可以接受關(guān)于理解給定數(shù)據(jù)源的培訓(xùn),但是必須獲得在一段時(shí)間內(nèi)理解另一事件上下文的技能。
分析師還需要學(xué)習(xí)如何有效地保存案件相關(guān)信息,因?yàn)樗麄兺ㄟ^(guò)報(bào)警調(diào)查工作。一種有效的技術(shù)是在他們寫罰單或起草事件報(bào)告時(shí)捕獲相關(guān)數(shù)據(jù),而不是試圖在事件結(jié)束后重建數(shù)據(jù)。
今天,為了解決技能差距,找到這樣的人:天生好奇,能抽象思考,在性格形成時(shí)期經(jīng)常把東西拆開再放回一起,對(duì)細(xì)節(jié)有很強(qiáng)的關(guān)注,能“連點(diǎn)成線”,最后能做研究的人。
下面是一份分析師技能開發(fā)配方,它來(lái)自于Ql/2017年期間對(duì)30多個(gè)SOC和安全經(jīng)理的調(diào)查,然后在我實(shí)現(xiàn)這個(gè)建議時(shí)進(jìn)行了改進(jìn)。SOC分析師需要了解:
1. “攻擊”的過(guò)程和階段:偵察、掃描、最初的破壞、建立持久性、命令和控制、橫向移動(dòng)、達(dá)到目標(biāo)、對(duì)目標(biāo)采取行動(dòng)、竊密、覆蓋軌跡、不留痕跡。MITRE ATT&CK框架是這個(gè)領(lǐng)域非常寶貴的學(xué)習(xí)工具,同時(shí)也是第180頁(yè)描述的網(wǎng)絡(luò)殺戮鏈。
2. 倫理:倫理行為意味著他們?cè)谧约旱姆秶鷥?nèi)工作,尋求幫助,不夸大結(jié)論,不捏造事實(shí),對(duì)他們使用的所有數(shù)據(jù)保密,以及其他專業(yè)責(zé)任。
3.熟悉組織特定的數(shù)據(jù):熟悉您的組織源數(shù)據(jù)(事件類型和字段),以便分析人員能夠梳理出能夠在可疑機(jī)器或用戶的事件流的整個(gè)上下文中“連接點(diǎn)”到警報(bào)事件的事實(shí)數(shù)據(jù)。這是最難培養(yǎng)的技能之一。當(dāng)一個(gè)新的數(shù)據(jù)源被添加到一個(gè)給定的系統(tǒng)中時(shí),使用EDIS過(guò)程:高級(jí)分析人員必須為團(tuán)隊(duì)的其余部分準(zhǔn)備一個(gè)數(shù)據(jù)的概述。
4. 系統(tǒng):技術(shù)系統(tǒng)訪問(wèn)控制功能以及如何應(yīng)用技術(shù)控制。
5. 防火墻:防火墻原理如日志類型和日志行記錄什么;規(guī)則屬性;動(dòng)作,如block, allow, reset, drop;接口意味著它與流程相關(guān);SNAT / DNAT字節(jié)發(fā)送/接收;了解安全區(qū)。
6. 安全區(qū)域:具體來(lái)說(shuō),安全區(qū)域是特定于每個(gè)組織的。人們可以推斷區(qū)域的含義,但不應(yīng)該這樣做,因?yàn)椴煌墓芾韱T或工程師可能不一致地應(yīng)用區(qū)域術(shù)語(yǔ)。在構(gòu)建防火墻規(guī)則集時(shí),防火墻團(tuán)隊(duì)必須記錄給定區(qū)域的含義及其關(guān)于流量的基本假設(shè)。Active Directory管理員需要對(duì)組織單元定義執(zhí)行相同的操作。通過(guò)這種方式,一個(gè)名為“eComDMZ”的防火墻區(qū)域可以連接到一個(gè)名為“WebSalesDMZ”的ADOU,當(dāng)定義聲明“用于支持用于電子商務(wù)的web站點(diǎn)的服務(wù)器”時(shí)。
7. PCAP收集和分析:網(wǎng)絡(luò)數(shù)據(jù)收集和使用tcpdump作為數(shù)據(jù)收集到,然后WireShark/TShark作為分析工具。
8. 取證:取證原則
a.按照波動(dòng)的順序收集系統(tǒng)數(shù)據(jù)
b.建立和維持托管鏈
c.記錄所采取的行動(dòng)、提取的數(shù)據(jù)、時(shí)間移位和時(shí)間軸重建
d. locard的交換原理
9. 硬件:硬件平臺(tái):PC、服務(wù)器、路由器、交換機(jī)、TAP、磁盤引導(dǎo)、MBR、識(shí)別卷。
10. 事件處理:事件處理過(guò)程:準(zhǔn)備、識(shí)別、遏制、根除、恢復(fù)和吸取教訓(xùn)。一旦人們理解了這些要點(diǎn),他們就需要能夠撰寫案例的執(zhí)行摘要。
11. 調(diào)查:報(bào)警調(diào)查章節(jié)中描述的調(diào)查過(guò)程。
12. NAT問(wèn)題:NAT轉(zhuǎn)換和定位真正的源IP的復(fù)雜性。
13. 網(wǎng)絡(luò)應(yīng)用協(xié)議:DNS、SSH、HTTP/S、SMB、NTP、DHCP、FTP、SSL、SMTP、POP3、IMAP和SIP。
14. 網(wǎng)絡(luò)協(xié)議理解:ICMP, QUIC, IP, TCP, UDP, GRE, BGP, SCTP,和ARP。
15. NIDS:網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)、規(guī)則集類別以及如何使用Talos Snort規(guī)則集(以前稱為SourceFire VRT)和新興威脅專業(yè)提要等規(guī)則集讀取IDS生成的事件。
16. 應(yīng)用程序組合:組織應(yīng)用程序目錄、應(yīng)用程序行為和PoCs
17. 政策:組織政策/程序和禮貌地表達(dá)和執(zhí)行PnP的能力。
18. 熟練操作系統(tǒng):Windows和Linux:服務(wù)、啟動(dòng)、日志文件、網(wǎng)絡(luò)連接、注冊(cè)表和進(jìn)程標(biāo)識(shí),以及如何在Windows和Linux上應(yīng)用權(quán)限。
19. 腳本:編程,側(cè)重于使用PowerShell、Python、shell、Perl或類似的實(shí)用腳本語(yǔ)言的管理和數(shù)據(jù)簡(jiǎn)化腳本技能
20.寫報(bào)告,包括拼寫,語(yǔ)法,單詞的用法,寫總結(jié)的能力,回答“誰(shuí),什么,什么時(shí)候,如何,在哪里”,并合理評(píng)估“為什么”。
21. HTTP、HTTPS和Web瀏覽器:了解最危險(xiǎn)的應(yīng)用程序(瀏覽器)如何工作對(duì)于分析人員的成功至關(guān)重要。應(yīng)用程序本身比外圍攻擊更常見,因?yàn)樗晒ΑW鳛樽C據(jù),考慮到釣魚工具的興起和對(duì)社會(huì)工程的關(guān)注,最終用戶引誘他們點(diǎn)擊。當(dāng)代理服務(wù)器涉及到警報(bào)時(shí),識(shí)別源用戶的能力和一致的習(xí)慣是至關(guān)重要的。當(dāng)警報(bào)發(fā)生或代理被識(shí)別為參與了入侵時(shí),分析人員需要始終嘗試查找生成流量的用戶、用戶代理或系統(tǒng)。
a.理解用戶代理、HTTP狀態(tài)碼、url和瀏覽器重定向。
b.研究通過(guò)代理顯示的URL數(shù)據(jù)。
c.研究用戶瀏覽習(xí)慣時(shí)的判斷力。
22. OWASP Top 10:除了需要了解瀏覽器之外,還需要了解如何攻擊面向Internet的應(yīng)用程序。
23. 所有在CompTIA安全+認(rèn)證和許多網(wǎng)絡(luò)+技能領(lǐng)域中測(cè)量的技能,所以SOC分析師是術(shù)語(yǔ)兼容的。
14.3SOC分析師特征
SOC分析師需要有特定的個(gè)性特征才能有效地工作,如下所列。
1. 天生的好奇心:SOC分析師將面臨一系列不斷變化的問(wèn)題、情況和新的數(shù)據(jù)源。找一些人,他們年輕的時(shí)候會(huì)把東西拆開再裝回去,特別是當(dāng)他們把東西裝好之后。
2. 組織能力:一種執(zhí)行“快速研究”的能力,這種能力使他們能夠區(qū)分優(yōu)劣,特別是根據(jù)警報(bào)和警報(bào)周圍的數(shù)據(jù)確定警報(bào)是否可能是真實(shí)的。例如,如果一個(gè)NIDS規(guī)則從三年前流行的攻擊中觸發(fā),那么今天必須具備什么條件才能使攻擊成功?
3.抽象思維:特別是,能夠讀取來(lái)自Snort/Suricata系統(tǒng)和Palo Alto防火墻的警報(bào)之類的入侵事件,并將它們與其他數(shù)據(jù)源進(jìn)行實(shí)時(shí)關(guān)聯(lián),在它們的腦海中可視化活動(dòng)模式
4. 將大型數(shù)據(jù)集放在上下文中:在上下文中將大量數(shù)據(jù)減少為信息的能力。更具體地說(shuō),在當(dāng)前遇到警報(bào)時(shí),確定該警報(bào)是否與更大的上下文相關(guān)。
5. 交流:進(jìn)行數(shù)據(jù)總結(jié)和共性檢測(cè),使一組原始事實(shí)產(chǎn)生信息,然后闡明這些信息如何證明或推翻一個(gè)假設(shè)。
6. 自我意識(shí)小,但還不至于小到不以自己的工作為榮。
14.4SOC角色
在安全操作中心需要配備幾個(gè)工作人員。根據(jù)大小、范圍和預(yù)算,SOC可以定義更多的角色。角色還將定義與其他關(guān)鍵角色的交互,因?yàn)镾IEM平臺(tái)和NSM平臺(tái)實(shí)際上擁有由SOC團(tuán)隊(duì)的工程、架構(gòu)和流程支持方面支持的用戶社區(qū)(SOC安全分析人員)。
表4 SOC的作用和功能
14.5SOC分層操作模型
少數(shù)人組成的小型安全團(tuán)隊(duì)很少遵循等級(jí)制度。這個(gè)團(tuán)隊(duì)只是互相協(xié)作來(lái)監(jiān)視環(huán)境并對(duì)警報(bào)做出響應(yīng)。隨著安全運(yùn)營(yíng)中心的成熟、規(guī)模和廣度的增長(zhǎng),它通常會(huì)發(fā)展成某種形式的分級(jí)分析師工作結(jié)構(gòu),反映了員工的技能基礎(chǔ)、工作警報(bào)條件、工資水平、他們支持的SOC服務(wù)領(lǐng)域,以及與他們工作水平相稱的培訓(xùn)。
本節(jié)描述一種兩層和三層的方法,其中“層”一詞用作占位符。職位頭銜可以是一級(jí)分析師、二級(jí)分析師、三級(jí)高級(jí)分析師,或者是初級(jí)分析師、分析師、高級(jí)分析師、首席分析師、或SOC Shift Lead。不管實(shí)際的頭銜是什么,基本的概念是有一些層次與分析師的技能基礎(chǔ)、舒適程度以及他們對(duì)警報(bào)和事件條件的反應(yīng)能力有關(guān),而警報(bào)和事件條件又與薪酬和責(zé)任有關(guān)。分層模型還提供了一種衡量進(jìn)展的方法,并根據(jù)頭銜和與技能基礎(chǔ)相稱的薪酬來(lái)提供工作進(jìn)展。
不管模型和標(biāo)題是什么,安全操作團(tuán)隊(duì)幾乎總是有一個(gè)正式的管理層。
什么是必不可少的分層模式!你的SOC使用的是每個(gè)分析師必須愿意尋求幫助,如果他們發(fā)現(xiàn)自己在處理警報(bào)或票據(jù)時(shí)超出了自己的能力范圍。
1、兩層模型
在兩層模型中,一線人員通常由經(jīng)驗(yàn)豐富的安全分析師組成,而第二層由工程師級(jí)別的人員組成,他們處理更復(fù)雜的案例或需要更復(fù)雜的分析。在這兩個(gè)操作層之上是SOC管理。在某些情況下,每個(gè)級(jí)別都將具有最終用戶和管理交互。
表5 SOC兩層模型的角色和職責(zé)
2、三層模型
在三層模型中,責(zé)任更加分層,因?yàn)榻M織試圖響應(yīng)對(duì)更多覆蓋的增加需求,并平衡人員成本和技能,或者需要提供更多覆蓋,比如增加夜班和周末。因此,更高的分離似乎使初級(jí)分析師對(duì)SOC有效。
表6 SOC三層模型
14.6使用CMMI的SOC成熟度曲線
安全團(tuán)隊(duì)經(jīng)歷了各種各樣的成長(zhǎng)階段和階段,這通常是非常自然地發(fā)生的。SOC通常開始于管理層有意雇傭某人,或者是作為對(duì)事件的響應(yīng),因?yàn)樗麄冃枰疤幚戆踩珕?wèn)題”,然后雇傭或引入一些IT人員來(lái)組成安全團(tuán)隊(duì),作為自然的結(jié)果,形成了某種形式的SOC團(tuán)隊(duì)。在這些有機(jī)步驟中含混不清的,是對(duì)“購(gòu)買和實(shí)施SIEM”的關(guān)注。然后在某人的共享辦公室中有一個(gè)SOC,或者幾個(gè)人在網(wǎng)絡(luò)操作中心(NOC)中獲得一些空間。所有這些都發(fā)生在相關(guān)人員做他們的“日常工作”的時(shí)候。
這些有機(jī)成長(zhǎng)的團(tuán)隊(duì)經(jīng)常在他們的形成中忽略一個(gè)關(guān)鍵的因素:SOC功能不是在需求評(píng)估或正式模型之后故意創(chuàng)建的。結(jié)果,第17頁(yè)中描述的SOC服務(wù)的不同方面在不同的級(jí)別上運(yùn)行。SOC工作人員針對(duì)相同的警報(bào)編寫不同的報(bào)告,因此結(jié)果是不可預(yù)測(cè)的,每個(gè)人的技能水平不同,操作結(jié)構(gòu)在內(nèi)部不一致,工作人員可能會(huì)感到沮喪。
這個(gè)問(wèn)題是如何解決的?一個(gè)備受推崇的方法是應(yīng)用卡內(nèi)基梅隆能力成熟度模型集成(CMMI)。在CMMI中有五個(gè)成熟度級(jí)別,每個(gè)級(jí)別代表了過(guò)程改進(jìn)方面的進(jìn)化平臺(tái)。通常情況下,CMMI在一個(gè)組織中被全面地應(yīng)用,跨越多達(dá)24個(gè)流程領(lǐng)域,因此使用它需要被調(diào)整,并集中于一個(gè)安全操作組織。將所有功能和過(guò)程都提升到5級(jí)可能是不必要的,甚至是不可取的,因?yàn)槊總€(gè)成熟度級(jí)別都是通過(guò)滿足過(guò)程的一組目標(biāo)來(lái)度量的。
表7 CMMI五級(jí)成熟度模型
還有一個(gè)形式化的模型可用來(lái)幫助評(píng)估soa成熟度級(jí)別。socc - cmm是由Rob van Os (MSc)創(chuàng)建的。這是他碩士論文的一部分。Rob的方法、工具和電子表格用于評(píng)估五個(gè)維度和25個(gè)方面的SOC。這五個(gè)領(lǐng)域是業(yè)務(wù)、人員和流程,它們被評(píng)估為成熟度。另外兩個(gè)是技術(shù)和服務(wù),分別針對(duì)成熟度和能力進(jìn)行評(píng)估。
您可以使用此工具來(lái)評(píng)估您的當(dāng)前狀態(tài),并開發(fā)一個(gè)如何使SOC成熟的路線圖。Rob的網(wǎng)站是https://www.SOC-cmm.com/。羅布的工具越來(lái)越有吸引力了。
14.7度量數(shù)據(jù)源集成成熟度級(jí)別
為了應(yīng)用CM CMMI, SOC可以考慮如何將一個(gè)數(shù)據(jù)源集成到SIEM及其操作過(guò)程中,作為一個(gè)必須得到良好管理和可重復(fù)的過(guò)程。作為一個(gè)主要的需求,為了將這個(gè)特別的過(guò)程移動(dòng)到一個(gè)成熟的、定義良好的過(guò)程,SOC需要系統(tǒng)地接受數(shù)據(jù),挖掘數(shù)據(jù),并確保SIEM平臺(tái)最大化。
作為初始過(guò)程的數(shù)據(jù)輸入(L1)的特征是:
?將數(shù)據(jù)輸入SIEM可能非常特別。善意的系統(tǒng)管理員設(shè)置了一個(gè)syslog feed,并讓SOC知道新數(shù)據(jù)的到來(lái)。
?SOC中有人與系統(tǒng)管理員合作,以確保系統(tǒng)數(shù)據(jù)可以收集到SIEM中。
?SOC的其他人與SIEM供應(yīng)商合作以確保數(shù)據(jù)被解析。
?建立數(shù)據(jù)生存能力基線,這樣如果源系統(tǒng)停止提供數(shù)據(jù),就可以“足夠快地”檢測(cè)到。
作為管理過(guò)程的數(shù)據(jù)輸入(L2)的特征是:
?數(shù)據(jù)輸入經(jīng)過(guò)一致的過(guò)程。源系統(tǒng)工具定義良好,如果供應(yīng)商需要自定義,則計(jì)劃使用它,并設(shè)置一個(gè)合成事務(wù)(參見第189頁(yè))。
?源系統(tǒng)得到充分運(yùn)行,因此所有安全和操作相關(guān)的事件都被記錄下來(lái)。
?一旦數(shù)據(jù)到達(dá),SOC將基于該數(shù)據(jù)源構(gòu)建源特定的報(bào)警條件。
?SOC是針對(duì)事件類型的廣度進(jìn)行培訓(xùn)的,以便團(tuán)隊(duì)能夠充分利用源系統(tǒng)能夠提供的所有資源。
作為定義的過(guò)程特征的數(shù)據(jù)輸入:
?組織策略和流程策略要求將數(shù)據(jù)源輸入集成到組織中。例如,策略要求對(duì)SIEM和/或日志管理平臺(tái)進(jìn)行日志記錄,并將檢查設(shè)置是否正確的功能集成到配置管理流程中。
?SOC經(jīng)理確保所有用戶已完成新員工培訓(xùn)對(duì)于每個(gè)數(shù)據(jù)源和確認(rèn)都有等價(jià)的理解如何使用數(shù)據(jù)。
14.8測(cè)量報(bào)警處理管理成熟度級(jí)別
為了應(yīng)用CM CMMI, SOC可以分析它如何處理報(bào)警處理。警報(bào)處理是應(yīng)該一致交付的服務(wù)的另一個(gè)好例子。這項(xiàng)服務(wù)是處理輸入到SIEM的數(shù)據(jù),然后由SOC分析人員執(zhí)行的結(jié)果。為了實(shí)現(xiàn)該服務(wù),SIEM和SOC的所有方面都是服務(wù)交付的一部分:數(shù)據(jù)輸入、解析、健康監(jiān)控、響應(yīng)事件的警報(bào)、驗(yàn)證警報(bào)是否真實(shí)為正的警報(bào)分析、響應(yīng)的嚴(yán)重性、基于對(duì)組織的影響、事件響應(yīng)被激活到所需的程度,以及對(duì)結(jié)果事件的跟蹤到解決。
真拗口!下面是一個(gè)警報(bào)管理如何通過(guò)一組成熟度步驟,從特定的成熟度級(jí)別過(guò)渡到定義良好的級(jí)別的示例。主要的要求是SOC盡可能快速、完整地讀取、檢查和響應(yīng)警報(bào)。
報(bào)警處理作為初始(L1)過(guò)程具有以下特征:
?soc分析師在警報(bào)到達(dá)時(shí)對(duì)其進(jìn)行審查,并提出一些優(yōu)先級(jí)和影響的概念。高度優(yōu)先的警報(bào),可能是真正的積極的收到注意,如報(bào)告的決議,數(shù)據(jù)所有者和系統(tǒng)保管人通知,或路由到第2層的進(jìn)一步調(diào)查。
?soc分析人員在警報(bào)解決的決策過(guò)程中可能一致,也可能不一致。在高壓力時(shí)期,警報(bào)并沒有得到持續(xù)的管理。緊急警報(bào)可能永遠(yuǎn)不會(huì)得到及時(shí)的評(píng)估。
?警報(bào)可能偶爾會(huì)在每天的匯總審查,這樣關(guān)鍵的警報(bào)總是接受某種形式的治療作為“臨時(shí)措施”。
報(bào)警處理作為一個(gè)管理(L2)過(guò)程特征:
?對(duì)事件數(shù)據(jù)進(jìn)行審核,以發(fā)現(xiàn)其他報(bào)警情況,從而提高檢測(cè)能力。
?調(diào)整警報(bào),使誤報(bào)可以最小化。這部分流程應(yīng)該在反饋循環(huán)中影響源系統(tǒng)。
?警報(bào)由SOC的所有成員一致處理,其中大多數(shù)映射到事件劇本或其他支持流程。
?警報(bào)解析、路由或調(diào)查,因?yàn)樗麄兌x在一定時(shí)間內(nèi)到達(dá)一30分鐘為關(guān)鍵,說(shuō)一個(gè)小時(shí)中,在4小時(shí)內(nèi)低。
?每班都要對(duì)警報(bào)板進(jìn)行檢查,以確保所有的“緊急”和“緊急”警報(bào)都得到重視。
?警報(bào)分析和處理進(jìn)入調(diào)優(yōu)過(guò)程,從而獲得的經(jīng)驗(yàn)教訓(xùn)和系統(tǒng)管理員反饋改進(jìn)了警報(bào)管理過(guò)程。
報(bào)警處理作為一個(gè)定義的(L3)過(guò)程具有以下特征:
?隨著數(shù)據(jù)源被集成到SIEM和SOC流程中,它們被映射到分類法中,審查流程被定義,SOC人員被充分培訓(xùn),以了解數(shù)據(jù)源及其帶來(lái)的警報(bào)條件。
?SIEM平臺(tái)增加了編配和自動(dòng)化功能,以提高分析師的響應(yīng)能力,并將更好的數(shù)據(jù)交付給分析師。
?警報(bào)和事件數(shù)據(jù)用于指導(dǎo)威脅捕獲程序,而威脅捕獲程序又通過(guò)相應(yīng)的SOC過(guò)程指導(dǎo)和改進(jìn)警報(bào)生成能力。
14.9例如SOC周轉(zhuǎn)清單
從這個(gè)列表開始你的SOC周轉(zhuǎn)清單。在每班開始的時(shí)候負(fù)責(zé)人員的周轉(zhuǎn)。每個(gè)班次需要總結(jié)下一個(gè)班次的警報(bào)、事件和跟蹤事項(xiàng),因?yàn)檫@些對(duì)情景感知非常重要。回顧這個(gè)列表并定義分析師每班做什么,開發(fā)一個(gè)組織特定的模型,然后更新?lián)Q班結(jié)束。一些SOC團(tuán)隊(duì)沒有足夠的人手來(lái)提供夜間功能,因此在早班開始時(shí),應(yīng)該立即檢查夜間警報(bào),確定如何將這一點(diǎn)納入您的環(huán)境中。
1. 從以前的班次,這應(yīng)該包括:
a.關(guān)鍵事件
b.持續(xù)事件的狀態(tài)
c .員工中斷
d.主要數(shù)據(jù)問(wèn)題
e.任何系統(tǒng)穩(wěn)定性問(wèn)題
f.相關(guān)溝通議題
2. 在正常的維護(hù)日,檢查計(jì)劃的變更,這樣SOC就不會(huì)對(duì)可以通過(guò)變更管理運(yùn)行的變更來(lái)解釋的警報(bào)情況做出過(guò)度反應(yīng)。
3.快速回顧昨天的警報(bào),以便很容易識(shí)別任何可能揭示重復(fù)事件的重現(xiàn)或重復(fù)情況。
4.回顧每日簡(jiǎn)報(bào),內(nèi)容應(yīng)包括以下主題:
a.系統(tǒng)中安裝了新的警報(bào)裝置
b.離開系統(tǒng)的數(shù)據(jù)源
c.新數(shù)據(jù)源進(jìn)入系統(tǒng)
d. otj培訓(xùn)缺口
