什么是安全运营中心(SOC),应该了解什么

安全运营中心(SOC) 是一种企业监视和警报设施,可帮助组织检测安全威胁、监视安全事件和分析性能数据以改进公司运营。

什么是安全运营中心(SOC)

安全运营中心(SOC)是一个中央监视和监视中心,用于收集和分析来自各种监视系统的安全信息以识别威胁。有效的 SOC 可以更有效地监控网络,同时最大限度地减少误报,从而更快地检测网络攻击或安全事件。良好的 SOC 提供组织数据安全状态的单一视图,连接来自多个源的日志数据以改进警报分析,自动执行签名更新等手动任务,并具有内置的风险评估工具。

安全运营中心(SOC)是任何组织网络安全战略的重要组成部分。这个中心枢纽是收集和监控所有网络安全数据的地方,从这里,SOC 分析师可以看到组织网络中发生的一切。SOC 为组织提供了其网络安全状态的单一视图,并使其更容易识别潜在威胁。

安全运营中心(SOC)团队中的基本角色

  • 事件响应者:配置和监控安全工具;识别会审、分类威胁并确定其优先级。
  • 安全调查员:识别受影响的主机和设备,评估正在运行和终止的进程,执行威胁分析。
  • 高级安全分析师:识别未知漏洞,审查过去的威胁和缓解措施,评估供应商和产品运行状况。
  • 目录管理器:管理整个 SOC 团队,与 CISO、业务领导者和合作伙伴沟通。
  • 安全工程师和架构师:管理整体安全架构,确保架构是开发周期的一部分。

构建 SOC 时的注意事项

  • 进行风险评估:构建 SOC 的第一步是执行完整的资产清单并执行风险评估,以确定攻击者可能利用的漏洞区域入侵组织。量化风险并了解风险偏好有助于确定哪种安全解决方案最适合您的组织。
  • 业务需求:在选择供应商之前,必须了解业务需求以及组织容易受到和可能面临的威胁。一个好的 SOC 应该足够灵活,以应对企业的安全挑战,并具有用于未来扩展的内置机制。
  • 安全目标:安全解决方案应包含与 SOC 的安全目标一致的功能集,选择在行业中具有良好记录的供应商也很重要。阅读供应商评论并从购买和实施相同产品的公司那里获得建议至关重要。
  • 时间因素:为您的企业选择正确的安全解决方案可能很耗时,但重要的是不要急于做出决定。规划实施并明智地选择安全解决方案至关重要,因为它将成为业务运营不可或缺的一部分。选择允许您实施零信任分阶段在组织中制定策略,同时仍保护组织免受潜在攻击,这是一个很好的起点。
  • SOC 设置:每个组织都可以选择其SOC团队的设置:内部或MSSP。虽然两者都有其优点和缺点,但选择最终将取决于该组织的需求和预算以及经验丰富的安保人员的可用性。

增强SOC 能力

SOC 收集和分析来自各种安全源的数据,以识别威胁并最大程度地减少误报。由于需要监视和保护大量用户和资产,因此仅靠人力就不可能实现安全性。这就是SOC的用武之地。一个好的SOC将配备安全分析解决方案,例如SIEM工具,用于收集和分析日志数据并关联事件以识别更大的事件。

SOC 中使用的工具和技术

  • 日志采集与管理工具
  • 安全信息和事件管理 (SIEM)
  • 漏洞管理
  • 端点检测和响应 (EDR)
  • 用户和实体行为分析 (UEBA)
  • 网络威胁搜寻
  • 威胁情报

日志采集与管理工具

要执行任何安全分析,您需要先获取相关信息。日志是有关网络中发生的各种活动的最佳信息来源。但是,网络中的多个设备每天生成数百万条日志。手动筛选它们是无效的或完全不可能的。一个日志管理工具可以自动执行日志收集、解析和分析的整个过程。它通常包含在SIEM 解决方案。

安全信息和事件管理 (SIEM)

构成 SOC 核心的最基本技术之一是SIEM 工具.通过组织网络收集的日志提供了大量信息,必须分析这些信息以查找异常行为。SIEM 平台聚合来自异构源的日志数据,对其进行检查以检测任何可能的攻击模式,并在发现威胁时快速发出警报。

与安全相关的信息以交互式仪表板上的图形报告的形式呈现给 SOC 团队。使用这些报告,SOC 团队可以快速调查威胁和攻击模式,并从日志趋势中获得各种见解,所有这些都来自单个控制台。发生安全事件时,SOC 团队还可以使用SIEM 工具通过日志取证分析找到违规的根本原因。他们可以向下钻取到日志数据,以进一步调查任何安全事件。

漏洞管理

网络犯罪分子主要针对并利用网络中可能已经存在的漏洞来渗透您的系统,因此 SOC 团队必须定期扫描和监控组织的网络以查找任何漏洞。一旦发现漏洞,他们必须快速解决漏洞,然后才能被利用。

端点检测和响应 (EDR)

EDR 技术通常是指主要专注于调查针对端点或主机的威胁的工具。它们通过充当前线防御来帮助 SOC 团队抵御旨在轻松躲避外围防御的威胁。

EDR 工具的四个主要职责包括:

  • 检测安全威胁
  • 在端点遏制威胁
  • 调查威胁
  • 在威胁蔓延之前对其进行修复

EDR 工具持续监视各种端点,从中收集数据,并分析任何可疑活动和攻击模式的信息。如果已识别威胁,EDR 工具将包含威胁并立即向安全团队发出警报。EDR 工具还可以与网络威胁情报集成,威胁搜寻和行为分析,以更快地检测恶意活动。

用户和实体行为分析 (UEBA)

SOC 团队的另一个宝贵工具是UEBA解决方案,UEBA 工具使用机器学习技术来处理从各种网络设备收集的数据,并为网络中的每个用户和实体开发正常行为的基线。随着数据和经验的增加,UEBA解决方案变得更加有效。

UEBA 工具每天分析来自各种网络设备的日志,如果任何事件偏离基线,则会将其标记为异常,并进一步分析潜在威胁。

根据各种因素(例如操作强度和偏差频率)为用户或实体分配从 0 到 100 的风险评分。如果风险评分较高,SOC 团队可以调查异常并快速采取补救措施。

网络威胁搜寻

随着网络安全攻击在本质上变得越来越复杂,SOC 团队如何保持领先一步?网络犯罪分子可以潜伏在组织网络中,不断收集数据并提升权限,而不会在数周内被发现。常规检测方法是反应性的,威胁搜寻另一方面,是一种积极主动的策略。它可用于检测传统安全工具经常遗漏的威胁。

它从一个假设开始,然后是一个调查。威胁猎人主动通过网络搜索任何隐藏的威胁,以防止潜在攻击。如果检测到任何威胁,他们会收集有关威胁的信息并将其传递给相关团队,以便立即采取适当的措施。

威胁情报

为了领先于最新的网络攻击,SOC 团队必须充分了解组织面临的各种可能威胁。威胁情报是不同组织共享的已发生或将要发生的威胁的基于证据的知识。借助威胁情报,SOC 团队可以获得有关各种恶意威胁和威胁参与者、其目标、要注意的迹象以及如何缓解威胁。

威胁情报源可用于获取有关常见入侵指标的信息,例如未经授权的 IP、URL、域名和电子邮件地址。随着新型攻击每天都在出现,威胁源会不断更新。通过将这些威胁源与日志数据相关联,当任何威胁参与者与网络交互时,SOC 团队可以立即收到警报。

在这里插入图片描述

适用于SOC 的全面 SIEM

Log360旨在应对 SOC 挑战,是一种全面的安全信息和事件管理 (SIEM) 解决方案,可帮助 SOCS 检测威胁、识别异常用户行为、通过实时警报跟踪可疑网络活动、通过工作流管理系统地解决安全事件,使用其内置的票务系统跟踪事件解决流程,进行定期安全审计,借助文件完整性监控保护机密数据等等。还通过其集成的合规性管理系统帮助满足 PCl DSS、HIPAA、FISMA、SOX、GDPR、GLBA 等法规要求。

  • 使用事件管理器优化 SOC 指标
  • 减少检测事件的平均时间
  • 提供主动安全策略
  • 最大限度地减少解决威胁的平均时间
  • 提高跨平台安全事件的可见性
  • 通过风险管理减少误报
  • 简化大型环境的扩展

使用事件管理器优化 SOC 指标

Log360 的可操作事件仪表板通过提供对关键指标(平均检测时间 (MTTD)、平均响应时间 (MTTR) 等)的可见性,帮助企业简化和优化其安全运营。跟踪活动和未解决的事件、最近和关键事件,并从此仪表板了解安全分析师的工作量。对事件解决进行分类并确定优先级,以确保使用 Log360 的事件管理器实现 SOC 的最佳运行。

减少检测事件的平均时间

Log360 的事件管理模块与基于签名和基于行为的威胁检测技术相结合,使您能够及时检测、跟踪和报告攻击,从而缩短检测和响应威胁的平均时间。

提供主动安全策略

Log360 带有内置的威胁情报平台,该平台包括预配置和自定义威胁源、即时警报通知、取证报告和内置票证系统,可帮助您通过追捕潜伏的威胁来缓解攻击,从而构建主动安全方法。

最大限度地减少解决威胁的平均时间

Log360 对关键警报进行会审,从而减少解决威胁的平均时间。它还带有一个内置的事件管理模块,可帮助您跟踪事件解决过程。将事件分配给分析师,使用事件时间线功能调查事件,添加有关解决过程的说明,监视事件解决时间,并分配工作流以修正威胁。

提高跨平台安全事件的可见性

可以从单个控制台监控各种平台(如物理、虚拟、云和远程工作环境)的安全事件。Log360还带有一个内置的威胁检测模块,可将恶意IP地址列入黑名单。

通过风险管理减少误报

Log360 集成了基于机器学习的用户和实体行为分析 (UEBA) 模块,可让您轻松识别风险和异常情况。UEBA 附加组件带有一个集成的风险管理系统,该系统根据异常类型关联风险评分。这有助于分析师密切关注高风险用户,减少误报,并准确检测缓慢和高级持续性攻击。

简化大型环境的扩展

Log360 配备用于审核物理、虚拟和云环境,它为 Windows、Linux 服务器、Hyper-V 计算机、Azure 和 Amazon 云平台提供简单的安全性和合规性管理,帮助您扩展环境。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/98640.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Spring AOP与静态代理/动态代理

文章目录 一、代理模式静态代理动态代理代理模式与AOP 二、Spring AOPSping AOP用来处理什么场景jdk 动态代理cglib 动态代理面试题:讲讲Spring AOP的原理与执行流程 总结 一、代理模式 代理模式是一种结构型设计模式,它允许对象提供替代品或占位符&…

macos 不支持svn安装

macos 10.13可能不支持svn命令,所以要安装 xcode-select --install 弹窗在线安装失败的话只能手动下载安装 打开:Sign In - Apple 搜索Command Line Tools (macOS 10.13) 下载9.4.1版本直接安装后即可

Docker实战:docker compose 搭建Rocketmq

1、配置文件准备 1.1、 新建目录:/home/docker/data/rocketmq/conf mkdir /home/docker/data/rocketmq/conf1.2、 在上面目录下新建文件broker.conf文件,内容如下 brokerClusterName DefaultCluster brokerName broker-a brokerId 0 deleteWhen 0…

【算法】分治法的应用——棋盘覆盖问题

创作不易&#xff0c;本篇文章如果帮助到了你&#xff0c;还请点赞 关注支持一下♡>&#x16966;<)!! 主页专栏有更多知识&#xff0c;如有疑问欢迎大家指正讨论&#xff0c;共同进步&#xff01; 更多算法分析与设计知识专栏&#xff1a;算法分析&#x1f525; 给大家跳…

华为数通方向HCIP-DataCom H12-821题库(单选题:181-200)

第181题 某管理员需要创建AS Path过滤器(ip as-path-iter),允许AS_Path中包含65001的路由通过,那么以下哪一项配置是正确的? A、​​ip as-path-filter 1 permit 65001​​ B、​​ip as-path-filter 1 permit "65001​​ C、​​ip as-path-filter 1 permit *6500…

OC和Swift混编,导入头文件‘xxx-Swift.h‘ file not found

在OC的项目里加入Swift代码&#xff0c;创建完桥接文件后&#xff0c;需要倒入Swift头文件&#xff0c;头文件的格式为“项目名-Swift.h”。 如下图&#xff0c;我在Xcode上看到我的项目名为YichangPark&#xff0c;导入 #import "YiChangPark-Swift.h" 之后提示 “Y…

【笔记】软件测试的艺术

软件测试的心理学和经济学 测试是为发现错误而执行程序的过程&#xff0c;所以它是一个破坏性的过程&#xff0c;测试是一个“施虐”的过程。 软件测试的10大原则 1、测试用例需要对预期输出的结果有明确的定义 做这件事的前提是能够提前知晓需求和效果图&#xff0c;如果不…

Python小知识 - 1. Python装饰器(decorator)

Python装饰器&#xff08;decorator&#xff09; Python装饰器是一个很有用的功能&#xff0c;它可以让我们在不修改原有代码的情况下&#xff0c;为已有的函数或类添加额外的功能。 常见的使用场景有&#xff1a; a. 函数缓存&#xff1a;对于一些计算量较大的函数&#xff0c…

[移动通讯]【Carrier Aggregation in LTE】【 Log analysis-2】

前言&#xff1a; 接 [移动通讯]【Carrier Aggregation in LTE】【 Theory Log analysis-1】 这里面 主要讲解一下日志分析 目录&#xff1a; 总体流程 UE Capbaility Information MeasurementReport RRC Connection Reconfiguration RRCConnectionReconfiguration…

一阶多智能体的平均一致性

数学表达 一阶多智能体的运动学方程可以描述为 x ˙ i ( t ) u i ( t ) , i ∈ { 1 , 2 , 3 , … , N } \dot x_i(t) u_i(t),i\in\{1,2,3,\dots,N\} x˙i​(t)ui​(t),i∈{1,2,3,…,N} 其中 x i ( t ) x_i(t) xi​(t)为状态&#xff0c; u i ( t ) u_i(t) ui​(t)为控制量&…

leetcode:1941. 检查是否所有字符出现次数相同(python3解法)

难度&#xff1a;简单 给你一个字符串 s &#xff0c;如果 s 是一个 好 字符串&#xff0c;请你返回 true &#xff0c;否则请返回 false 。 如果 s 中出现过的 所有 字符的出现次数 相同 &#xff0c;那么我们称字符串 s 是 好 字符串。 示例 1&#xff1a; 输入&#xff1a;s…

华为数通方向HCIP-DataCom H12-821题库(单选题:261-280)

第261题 以下关于IPv6过渡技术的描述,正确的是哪些项? A、转换技术的原理是将IPv6的头部改写成IPv4的头部,或者将IPv4的头部改写成IPv6的头部 B、使用隧道技术,能够将IPv4封装在IPv6隧道中实现互通,但是隧道的端点需要支持双栈技术 C、转换技术适用于纯IPv4网络与纯IPv…