一、为什么我们需要SOC?

安全运营中心在威胁的实时检测和威胁后响应中起着重要的作用。有几种工具和解决方案正在SOC环境中使用。这本书将带你通过所有必须知道的SOC技术和工具。安全运营中心是监视所有网络设备、安全解决方案、应用程序和数据库系统的地方。SOC还处理通过使用漏洞管理工具、网络安全监控解决方案和持续安全监控产品对威胁进行定期评估。终端安全管理、事件响应、合规性监控等也是安全运营中心团队的其他主要职能。

二、SOC的挑战

在安全监视方面有几个挑战，在下一节中，您将了解有关它的更多细节。

2.1数据量

SOC工具必须能够处理来自不同系统、平台和应用程序的大量数据。安全监控解决方案将作为日志的收集和聚合点，大量的数据收集应该不会产生任何性能或吞吐量问题。对于mssp，性能问题可能直接导致监视服务中断或SLA违反。缺少原始日志或索引日志将导致违反遵从性。因此，在选择和部署SOC解决方案之前，选择SOC解决方案的吞吐量和效率是非常重要的。

日志速率限制是安全从业者遵循的一种常见实践，以减少在SOC收集点、日志管理器或SIEM收集点中聚合的日志数量。日志速率限制策略限制事件源本身生成的日志数量。这可以确保有效利用您的SIEM基于每秒事件(EPS)的许可证。

然而，速率限制并不总是优先级驱动的。大多数网络安全厂商都不提供选择性速率限制。这意味着由于日志速率限制的实现，您可能会错过关键日志。

除了速率限制之外，组织还可以控制安全系统生成的日志的类型或类别。例如，Cisco IOS提供了一个选项来有选择地生成日志。示例-1显示了Cisco路由器中的日志速率限制策略配置。

在上面的示例中，日志速率限制配置命令将发送到syslog服务器的syslog包的数量限制为每秒20个事件。在这种情况下，这是一种选择性速率限制配置，因为这种策略不适用于“警告”类别日志。

Example -1

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#logging host 10.10.11.14 Router(config)#logging rate-limit 20 except warnings Router(config)#end

Router#

2.2无数的端点和数十亿的日志

企业网络中有几套网络基础设施和安全设备，所有这些产品都会生成日志，而且成千上万的终端用户通过无线或移动网络连接到企业网络。目前的安全控制不计算连接的无线或蜂窝终端之间的点对点通信。最近在网络方面的发展，如SDN——软件定义的网络正在缓慢地重新定义网络基础架构本身。这就需要修改信息安全策略或日志配置。组织越来越多地使用云部署的实例或应用程序，其中大多数应用程序是业务关键型的，它们生成的日志也是如此。

2.3复杂的攻击

仅通过监视、收集和关联由不同端点生成的日志，很难最初检测出现代复杂的攻击。大多数情况下，威胁的特征只能通过深度后威胁分析来确定。

例如，检测高级持续威胁(APT)的“横向移动”，需要来自不同事件源的多个日志的相互关联。

2.4法规遵从性要求

遵从性标准要求保留安全数据。日志归档的方式应该使审计人员能够很容易地回溯到前几年的日志，以跟踪安全漏洞。所需的安全数据类型、不遵守规定的惩罚和最低保留期限因法规而异。

没有组织会对不按照法规遵循要求保留日志的风险感兴趣。不遵守可能导致巨额罚款和民事或行政责任，此外，与安全漏洞相关的组织名称将影响其与客户的信任关系和业务本身的存在。

下表列出了不同合规标准的保留要求。

2.5 SOC服务

SOC功能一周七天，一天24小时。SOC提供的典型服务包括:

•持续的威胁监控和事件检测

•事件反应

•降低威胁

•规则/签名更新

•威胁情报整合

•脆弱性评估

•web应用程序扫描

•合规监测

•管理设备

2.6持续的威胁监控和事件检测

持续的威胁监视和事件检测——这是通过监视SIM/SIEM控制台、IPS/IDS控制台、AV/AS/UTM控制台和DLP/SIV/端点安全控制台来实现的。

2.7事件响应

它包括初步的事件响应、隔离威胁和协调负责减轻威胁的不同职能小组。事件响应是安全运营团队的主要职能之一。

2.8威胁缓解

大多数时候，SOC团队成员在降低威胁方面扮演着重要的角色，他们还进行必要的检查，以确保漏洞或漏洞被完全根除。SOC团队成员可以建议对现有的安全控制进行更改以消除威胁，也可以使用自定义脚本或漏洞管理工具对威胁进行重新评估。

2.9规则/签名更新

IPS/IDS、端点安全性和防火墙规则通常由SOC更新。在一些组织中，OS和应用程序补丁管理也由安全操作中心团队执行。自定义签名开发、重新使用签名和撤销使用中的签名也可能是安全操作中心团队的一个功能。

2.10威胁情报集成

将威胁情报提要与现有的SIM/SIEM、外围安全设备(如防火墙和内容过滤解决方案)集成是SOC团队的主要职责之一。如今，许多组织都选择了自己的威胁情报平台，可以使用来自不同威胁情报提供者的提要。

SOC SME通常负责从不同威胁情报提供者那里接收的数据的泛化。

SOC资源使用该情报及时识别新的攻击，并再次确认已识别的威胁。

2.11Constituency

Constituency是SOC中用来表示SOC提供服务的一组客户的术语，这些客户包括用户、站点、信息技术资产、客户、合作伙伴和组织。一个典型的SOC每天会收集数十亿个安全事件，分析和存储安全事件所需的处理能力、吞吐量和存储空间是巨大的。自然安全系统委员会将事件定义为“系统或网络事件中任何可观察到的事件，有时提供事件正在发生的迹象。”