什么是安全运营中心(SOC),应该了解什么

安全运营中心(SOC) 是一种企业监视和警报设施,可帮助组织检测安全威胁、监视安全事件和分析性能数据以改进公司运营。

什么是安全运营中心(SOC)

安全运营中心(SOC)是一个中央监视和监视中心,用于收集和分析来自各种监视系统的安全信息以识别威胁。有效的 SOC 可以更有效地监控网络,同时最大限度地减少误报,从而更快地检测网络攻击或安全事件。良好的 SOC 提供组织数据安全状态的单一视图,连接来自多个源的日志数据以改进警报分析,自动执行签名更新等手动任务,并具有内置的风险评估工具。

安全运营中心(SOC)是任何组织网络安全战略的重要组成部分。这个中心枢纽是收集和监控所有网络安全数据的地方,从这里,SOC 分析师可以看到组织网络中发生的一切。SOC 为组织提供了其网络安全状态的单一视图,并使其更容易识别潜在威胁。

安全运营中心(SOC)团队中的基本角色

  • 事件响应者:配置和监控安全工具;识别会审、分类威胁并确定其优先级。
  • 安全调查员:识别受影响的主机和设备,评估正在运行和终止的进程,执行威胁分析。
  • 高级安全分析师:识别未知漏洞,审查过去的威胁和缓解措施,评估供应商和产品运行状况。
  • 目录管理器:管理整个 SOC 团队,与 CISO、业务领导者和合作伙伴沟通。
  • 安全工程师和架构师:管理整体安全架构,确保架构是开发周期的一部分。

构建 SOC 时的注意事项

  • 进行风险评估:构建 SOC 的第一步是执行完整的资产清单并执行风险评估,以确定攻击者可能利用的漏洞区域入侵组织。量化风险并了解风险偏好有助于确定哪种安全解决方案最适合您的组织。
  • 业务需求:在选择供应商之前,必须了解业务需求以及组织容易受到和可能面临的威胁。一个好的 SOC 应该足够灵活,以应对企业的安全挑战,并具有用于未来扩展的内置机制。
  • 安全目标:安全解决方案应包含与 SOC 的安全目标一致的功能集,选择在行业中具有良好记录的供应商也很重要。阅读供应商评论并从购买和实施相同产品的公司那里获得建议至关重要。
  • 时间因素:为您的企业选择正确的安全解决方案可能很耗时,但重要的是不要急于做出决定。规划实施并明智地选择安全解决方案至关重要,因为它将成为业务运营不可或缺的一部分。选择允许您实施零信任分阶段在组织中制定策略,同时仍保护组织免受潜在攻击,这是一个很好的起点。
  • SOC 设置:每个组织都可以选择其SOC团队的设置:内部或MSSP。虽然两者都有其优点和缺点,但选择最终将取决于该组织的需求和预算以及经验丰富的安保人员的可用性。

增强SOC 能力

SOC 收集和分析来自各种安全源的数据,以识别威胁并最大程度地减少误报。由于需要监视和保护大量用户和资产,因此仅靠人力就不可能实现安全性。这就是SOC的用武之地。一个好的SOC将配备安全分析解决方案,例如SIEM工具,用于收集和分析日志数据并关联事件以识别更大的事件。

SOC 中使用的工具和技术

  • 日志采集与管理工具
  • 安全信息和事件管理 (SIEM)
  • 漏洞管理
  • 端点检测和响应 (EDR)
  • 用户和实体行为分析 (UEBA)
  • 网络威胁搜寻
  • 威胁情报

日志采集与管理工具

要执行任何安全分析,您需要先获取相关信息。日志是有关网络中发生的各种活动的最佳信息来源。但是,网络中的多个设备每天生成数百万条日志。手动筛选它们是无效的或完全不可能的。一个日志管理工具可以自动执行日志收集、解析和分析的整个过程。它通常包含在SIEM 解决方案。

安全信息和事件管理 (SIEM)

构成 SOC 核心的最基本技术之一是SIEM 工具.通过组织网络收集的日志提供了大量信息,必须分析这些信息以查找异常行为。SIEM 平台聚合来自异构源的日志数据,对其进行检查以检测任何可能的攻击模式,并在发现威胁时快速发出警报。

与安全相关的信息以交互式仪表板上的图形报告的形式呈现给 SOC 团队。使用这些报告,SOC 团队可以快速调查威胁和攻击模式,并从日志趋势中获得各种见解,所有这些都来自单个控制台。发生安全事件时,SOC 团队还可以使用SIEM 工具通过日志取证分析找到违规的根本原因。他们可以向下钻取到日志数据,以进一步调查任何安全事件。

漏洞管理

网络犯罪分子主要针对并利用网络中可能已经存在的漏洞来渗透您的系统,因此 SOC 团队必须定期扫描和监控组织的网络以查找任何漏洞。一旦发现漏洞,他们必须快速解决漏洞,然后才能被利用。

端点检测和响应 (EDR)

EDR 技术通常是指主要专注于调查针对端点或主机的威胁的工具。它们通过充当前线防御来帮助 SOC 团队抵御旨在轻松躲避外围防御的威胁。

EDR 工具的四个主要职责包括:

  • 检测安全威胁
  • 在端点遏制威胁
  • 调查威胁
  • 在威胁蔓延之前对其进行修复

EDR 工具持续监视各种端点,从中收集数据,并分析任何可疑活动和攻击模式的信息。如果已识别威胁,EDR 工具将包含威胁并立即向安全团队发出警报。EDR 工具还可以与网络威胁情报集成,威胁搜寻和行为分析,以更快地检测恶意活动。

用户和实体行为分析 (UEBA)

SOC 团队的另一个宝贵工具是UEBA解决方案,UEBA 工具使用机器学习技术来处理从各种网络设备收集的数据,并为网络中的每个用户和实体开发正常行为的基线。随着数据和经验的增加,UEBA解决方案变得更加有效。

UEBA 工具每天分析来自各种网络设备的日志,如果任何事件偏离基线,则会将其标记为异常,并进一步分析潜在威胁。

根据各种因素(例如操作强度和偏差频率)为用户或实体分配从 0 到 100 的风险评分。如果风险评分较高,SOC 团队可以调查异常并快速采取补救措施。

网络威胁搜寻

随着网络安全攻击在本质上变得越来越复杂,SOC 团队如何保持领先一步?网络犯罪分子可以潜伏在组织网络中,不断收集数据并提升权限,而不会在数周内被发现。常规检测方法是反应性的,威胁搜寻另一方面,是一种积极主动的策略。它可用于检测传统安全工具经常遗漏的威胁。

它从一个假设开始,然后是一个调查。威胁猎人主动通过网络搜索任何隐藏的威胁,以防止潜在攻击。如果检测到任何威胁,他们会收集有关威胁的信息并将其传递给相关团队,以便立即采取适当的措施。

威胁情报

为了领先于最新的网络攻击,SOC 团队必须充分了解组织面临的各种可能威胁。威胁情报是不同组织共享的已发生或将要发生的威胁的基于证据的知识。借助威胁情报,SOC 团队可以获得有关各种恶意威胁和威胁参与者、其目标、要注意的迹象以及如何缓解威胁。

威胁情报源可用于获取有关常见入侵指标的信息,例如未经授权的 IP、URL、域名和电子邮件地址。随着新型攻击每天都在出现,威胁源会不断更新。通过将这些威胁源与日志数据相关联,当任何威胁参与者与网络交互时,SOC 团队可以立即收到警报。

在这里插入图片描述

适用于SOC 的全面 SIEM

Log360旨在应对 SOC 挑战,是一种全面的安全信息和事件管理 (SIEM) 解决方案,可帮助 SOCS 检测威胁、识别异常用户行为、通过实时警报跟踪可疑网络活动、通过工作流管理系统地解决安全事件,使用其内置的票务系统跟踪事件解决流程,进行定期安全审计,借助文件完整性监控保护机密数据等等。还通过其集成的合规性管理系统帮助满足 PCl DSS、HIPAA、FISMA、SOX、GDPR、GLBA 等法规要求。

  • 使用事件管理器优化 SOC 指标
  • 减少检测事件的平均时间
  • 提供主动安全策略
  • 最大限度地减少解决威胁的平均时间
  • 提高跨平台安全事件的可见性
  • 通过风险管理减少误报
  • 简化大型环境的扩展

使用事件管理器优化 SOC 指标

Log360 的可操作事件仪表板通过提供对关键指标(平均检测时间 (MTTD)、平均响应时间 (MTTR) 等)的可见性,帮助企业简化和优化其安全运营。跟踪活动和未解决的事件、最近和关键事件,并从此仪表板了解安全分析师的工作量。对事件解决进行分类并确定优先级,以确保使用 Log360 的事件管理器实现 SOC 的最佳运行。

减少检测事件的平均时间

Log360 的事件管理模块与基于签名和基于行为的威胁检测技术相结合,使您能够及时检测、跟踪和报告攻击,从而缩短检测和响应威胁的平均时间。

提供主动安全策略

Log360 带有内置的威胁情报平台,该平台包括预配置和自定义威胁源、即时警报通知、取证报告和内置票证系统,可帮助您通过追捕潜伏的威胁来缓解攻击,从而构建主动安全方法。

最大限度地减少解决威胁的平均时间

Log360 对关键警报进行会审,从而减少解决威胁的平均时间。它还带有一个内置的事件管理模块,可帮助您跟踪事件解决过程。将事件分配给分析师,使用事件时间线功能调查事件,添加有关解决过程的说明,监视事件解决时间,并分配工作流以修正威胁。

提高跨平台安全事件的可见性

可以从单个控制台监控各种平台(如物理、虚拟、云和远程工作环境)的安全事件。Log360还带有一个内置的威胁检测模块,可将恶意IP地址列入黑名单。

通过风险管理减少误报

Log360 集成了基于机器学习的用户和实体行为分析 (UEBA) 模块,可让您轻松识别风险和异常情况。UEBA 附加组件带有一个集成的风险管理系统,该系统根据异常类型关联风险评分。这有助于分析师密切关注高风险用户,减少误报,并准确检测缓慢和高级持续性攻击。

简化大型环境的扩展

Log360 配备用于审核物理、虚拟和云环境,它为 Windows、Linux 服务器、Hyper-V 计算机、Azure 和 Amazon 云平台提供简单的安全性和合规性管理,帮助您扩展环境。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/121122.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Flowable7 设计器

1、flowable7 已经在主版本上移除了Flowable UI相关的包,包含bpm-json相关的所有包和流程设计器相关前端文件。 2、flowable7 版本目前只保留了xml运行相关的包,ui modeler已经移除 3、目前官方给的回复是只能在 flowable 云产品上使用设计器&#xff…

Servlet属性、监听者和会话

没有servlet能单独存在。在当前的现代Web应用中,许多组件都是在一起协作共同完成一个目标。怎么让这些组件共享信息?如何隐藏信息?怎样让信息做到线程安全? 1 属性和监听者 1.1 初始化 容器初始化一个servlet时,会为…

国标GB28181视频平台EasyGBS国标视频云平台级联到EasyCVR,上级平台无法播放通道视频的问题解决方案

EasyGBS国标视频云平台是基于国标GB28181协议的视频能力兼服务平台,可实现的视频能力包括将设备通过国标GB28181协议接入、流媒体转码、处理及分发、直播录像、语音对讲、云存储、告警、平台级联等功能。其中,平台级联功能是指平台与平台之间可以通过国标…

真香:Alibaba开源GitHub星标100K微服务架构全彩进阶手册

前言: 微服务架构作为一种高效灵活的应用架构,正在成为企业级应用开发的主流选择。在众多的微服务架构指南中,阿里巴巴开源的GitHub微服务架构全彩进阶手册备受瞩目,其100star更是证明了其在开发者社区中的重要地位。 这本手册汇…

结构体的简单介绍(2)

目录 结构体的特殊声明 结构体的自引用 结构体的特殊声明 在声明结构的时候,可以不完全的声明。 比如: struct {int a;char b;float c; }x; 以上结构在声明的时候省略掉了结构体标签(tag)。 那么会有什么影响呢&#xff1f…

Unity 切换场景后场景变暗

问题 Unity版本:2019.4.34f1c1 主场景只有UI,没有灯光,天空盒;其他场景有灯光和天空盒所有场景不烘焙主场景作为启动场景运行,切换到其他场景,场景变暗某一个场景作为启动场景运行,光影效果正…

【zip密码】zip压缩包删除密码方法

Zip压缩包设置设置了密码,想要删除密码,除了将压缩包解压出来之后再将文件压缩为不带密码的压缩文件以外,还有一种删除密码的方法。设置方法如下: 右键点击zip文件,找到打开方式,以Windows资源管理器方式打…

数据结构:排序解析

文章目录 前言一、常见排序算法的实现1.插入排序1.直接插入排序2.希尔排序 2.交换排序1.冒泡排序2.快速排序1.hoare版2.挖坑版3.前后指针版4.改进版5.非递归版 3.选择排序1.直接选择排序2.堆排序 4.归并排序1.归并排序递归实现2.归并排序非递归实现 5.计数排序 二、排序算法复杂…

手写Mybatis:第17章-Plugin插件功能实现

文章目录 一、目标:Plugin插件二、设计:Plugin插件三、实现:Plugin插件3.1 工程结构3.2 Plugin插件代理模式类图3.3 自定义拦截注解3.3.1 方法签名3.3.2 拦截注解 3.4 拦截器接口定义3.4.1 调用信息3.4.2 拦截器接口 3.5 类代理包装操作3.5.1…

Vulnhub: Hogwarts: Bellatrix靶机

kali:192.168.111.111 靶机:192.168.111.228 信息收集 端口扫描 nmap -A -sC -v -sV -T5 -p- --scripthttp-enum 192.168.111.228访问80端口 查看源码,提示ikilledsiriusblack.php和文件包含的参数名file 漏洞利用 ikilledsiriusblack.p…

seata升级1.1.0后遇到io.seata.common.exception.ShouldNeverHappenException

我们这一节主要讲的是seata升级后的主要修改,至于seata的基本部署可以参考我之前的随笔。 一开始我在升级SpringBoot版本之后,seata就突然启动不起来了,报了下面的错: Caused by: io.seata.common.exception.ShouldNeverHappenExc…

etcd读写请求的执行过程

etcd读请求如何执行 首先,etcdctl 会对命令中的参数进行解析。在解析完请求中的参数后,etcdctl 会创建一个 clientv3 库对象通过gRPC API来访问 etcd server。对应流程一。 然后通过负载均衡算法选择一个etcd server节点,然后调用 etcd ser…

互联网医院|医疗系统新模式改善看病效率

伴随着互联网时代的进步,医疗也在不断的发展,越来越多的医院和诊所开始使用医疗软件。医疗软件广泛的被使用着,软件几乎覆盖了我们的日常生活。在我们日常生活当中健康一直是需求专业渠道,医疗软件开发会把用户的数据打造出一个数…

2023年了,java后端还有未来吗?

前言 Java当下确实是比较的内卷,但关键在于个人,可以看看不同地方(这里主要举例北上广深一线城市)对于Java开发工程师这个职位的具体要求: 在以下北上广深这些一线大城市的面试招聘当中不难看出,凡是工资…

电视盒子什么品牌好?数码博主盘点目前性能最好的电视盒子

电视盒子是非常重要的,老人小孩基本每天都会看电视,而电视盒子作为电视盒子的最佳拍档销量十分火爆,我自己每个月都会测评几次电视盒子,今天给大家详细解读一下电视盒子什么品牌好,看看目前性能最好的电视盒子是哪些&a…

危险边缘:揭示 Python 编程中易被忽视的四个安全陷阱

今天我们将要谈论一个非常重要的话题:Python 编程中的安全问题。作为一门广受欢迎的编程语言,Python 已经成为了许多开发者、计算机专业学生以及打工人的必备技能。 原文链接食用更佳 危险边缘:揭示 Python 编程中易被忽视的四个安全问题 然…

睿趣科技:抖音小店多久可以做起来

随着社交媒体的迅猛发展,抖音成为了全球最受欢迎的短视频平台之一,吸引了数以亿计的用户。在抖音上,人们不仅可以分享自己的生活、才艺和创意,还可以创业经营抖音小店。但是,很多人都想知道,一个抖音小店到…

10个免费PPT下载资源网站分享

PPT超级市场https://pptsupermarket.com/ PPT超级市场是一个完全免费的PPT模板下载网站,不需要注册登录,点击下载就能直接使用。 叮当设计https://www.dingdangsheji.com/ 叮当设计是一个完全免费的PPT模板下载网站,每一套PPT的质量都很高。除…

【Java从0到1学习】14 Java多线程

1. 多线程概述 人们在日常生活中,很多事情都是可以同时进行的。例如,一个人可以一边听音乐,一边打扫房间,可以一边吃饭,一边看电视。在使用计算机时,很多任务也是可以同时进行的。例如,可以一边…

VSCode 配置 C 语言编程环境

目录 一、下载 mingw64 二、配置环境变量 三、三个配置文件 四、格式化代码 1、安装插件 2、保存时自动格式化 3、左 { 不换行 上了两年大学,都还没花心思去搭建 C 语言编程环境,惭愧,惭愧。 一、下载 mingw64 mingw64 是著名的 C/C…