建设体系化的SOC(安全运营中心)

发表于 分类于 阅读次数:

定义:

SOC,即Security Operations Center,安全运营中心,主要负责企业的入侵检测、应急响应、安全监控等入侵防御体系的建设。通常会笼统概括成两个方面,即Blue Team(Defensive Security)和Red Team(Offensive Security)。

如何组建SOC:

  1. 理论基础
    • 应急响应处理流程
      • 评估
      • 控制
      • 消除
      • 恢复
      • 总结
    • Cyber Attack Life Cycle
      • Recon侦查
      • Weaponize工具化
      • Deliver投送
      • Exploit攻击利用
      • Control控制
      • Execute执行
      • Maintain持久化
    • MITRE ATT&CK
  2. 平台与工具
    • 平台
      • SIEM-日志收集平台
      • TDP-威胁检测平台
      • IDP-IOC检测平台
      • ITP-安全事件追踪与记录平台
    • 工具
      • 域名与IP检测
      • URL检测
      • TOR节点检测
      • 在线恶意文件检测
      • 动态恶意文件检测
      • 邮件检测

SOC如何工作:

  • SOC的组织架构
    • SOC运营中心
      • Blue Team
        1. Incident Response-应急响应(Tier1)
        2. Malware Analysis-病毒分析(Tier2)
        3. Digital Forensics-电子取证(Tier2)
        4. Detection & Monitoring-检测与监控(Tier2)
        5. Vulnerability Management-漏洞管理(Tier2)
      • Red Team
        1. Threat Intelligence-威胁情报(Tier3)
        2. Threat Hunting-威胁猎杀(Tier3)
        3. Penetration Testing-渗透测试(Tier3)
        4. Red Teaming-红队行动(Tier3)
    • SOC的职责划分
      • Tier1:负责直接应对和协调处理企业各种安全事件
      • Tier2:为Tier1团队提供技术支持
      • Tier3:站在攻击者的角度主动检验当前已有的入侵检测和防御能力
    • SOC的有效协作
      • 被动应急与响应
      • 主动监测与响应
      • 威胁情报分析与利用
      • 红队行动实践

本文整理自《谈谈如何建设体系化的安全运营中心(SOC)》by安全小飞侠