建设体系化的SOC(安全运营中心)
定义:
SOC,即Security Operations Center,安全运营中心,主要负责企业的入侵检测、应急响应、安全监控等入侵防御体系的建设。通常会笼统概括成两个方面,即Blue Team(Defensive Security)和Red Team(Offensive Security)。
如何组建SOC:
- 理论基础
- 应急响应处理流程
- 评估
- 控制
- 消除
- 恢复
- 总结
- Cyber Attack Life Cycle
- Recon侦查
- Weaponize工具化
- Deliver投送
- Exploit攻击利用
- Control控制
- Execute执行
- Maintain持久化
- MITRE ATT&CK
- 应急响应处理流程
- 平台与工具
- 平台
- SIEM-日志收集平台
- TDP-威胁检测平台
- IDP-IOC检测平台
- ITP-安全事件追踪与记录平台
- 工具
- 域名与IP检测
- URL检测
- TOR节点检测
- 在线恶意文件检测
- 动态恶意文件检测
- 邮件检测
- …
- 平台
SOC如何工作:
- SOC的组织架构
- SOC运营中心
- Blue Team
- Incident Response-应急响应(Tier1)
- Malware Analysis-病毒分析(Tier2)
- Digital Forensics-电子取证(Tier2)
- Detection & Monitoring-检测与监控(Tier2)
- Vulnerability Management-漏洞管理(Tier2)
- Red Team
- Threat Intelligence-威胁情报(Tier3)
- Threat Hunting-威胁猎杀(Tier3)
- Penetration Testing-渗透测试(Tier3)
- Red Teaming-红队行动(Tier3)
- Blue Team
- SOC的职责划分
- Tier1:负责直接应对和协调处理企业各种安全事件
- Tier2:为Tier1团队提供技术支持
- Tier3:站在攻击者的角度主动检验当前已有的入侵检测和防御能力
- SOC的有效协作
- 被动应急与响应
- 主动监测与响应
- 威胁情报分析与利用
- 红队行动实践
- SOC运营中心
本文整理自《谈谈如何建设体系化的安全运营中心(SOC)》by安全小飞侠