当前,安全管理平台 (SOC) 已成为企业提高信息安全水平的主要工具,但往往安全并不是靠某个工具就能解决,对平台赋能,给予必要的支撑十分重要,诸如态势感知,已成为支撑 SOC 建设的重要核心点,甚至将二者混为一谈,那么在具体建设过程中,该如何理清 SOC 相关服务产品间的关系及组织性,彼此该如何配合,以发挥最大效率,本期话题就围绕企业 SOC 平台建设相关问题展开讨论。
1.买了态势感知、某 EYE 等服务,建设 SOC 是把这类告警再给 SOC 一次么?这样的体验真的好吗?
2.建 SOC 前没买过态势感知类的产品,是不是只需要建 SOC 就可以了?
3.如果建 SOC,需要买全流量存储设备吗? 1.买了态势感知、某 EYE 等服务,建设 SOC 是把这类告警再给 SOC 一次么?这样的体验真的好吗? @ 乌冬面
SOC 不只是接收单一告警,而是要上下文关联,更精确告警。
@ 宫保鸡丁
首先,什么是态势感知,什么是 SOC。见过不少防火墙、杀毒之类的产品,也加了个 “态势感知” 的菜单,点进去最多算个看板。
@ 番茄炒蛋
主要还是看态势感知和 SOC 的定位,如果态势主要是展示大屏用,那么吐告警给 SOC,结合其他日志做上下文关联分析,以及联动其他模块(比如 SOAR)是有意义的。
@ 鱼香肉丝
某 EYE 属于威胁感知吧,主要通过镜像流量接入。SOC 应该把安全设备告警信息或主机、办公网、VPN、日志统一汇总到一个平台进行关联分析,对安全事件进行响应。个人理解区别。
@ 夫妻肺片
理想化的当然是接入,但是实际情况是 SOC 一次性处理不了那么大的日志量。
@ 温泉蛋
这里我先理解态势感知就是一些安全设备、平台,然后 SOC 是安全运营中心,算是个组织吧。我们有采购态势感知相关设备,本身投资比较大,还没有买齐全,目前是底层的一些探针服务器 、日志审计之类的,目的其实建立 SOC 的管理平台,态势感知把所有安全设备的日志能接入,体验好一点的就是不用每台安全设备上去巡检安全日志,一个个统计分析,能减轻些巡检分析的工作量。不过说实话,如果只是为了把日志都接入 SOC 平台方便查询统计分析,而没有做安全联动以及更深化的网络安全管理提升工作,那 SOC 发挥的作用还有待提高,同样,自有的安全设备是否充分用好了也是值得考量的。
@ 水煮肉片
态势感知建议考虑全家桶,就是硬件 + 软件,不然没专业团队处理日志,出不了效果,纯粹展示用。
各家安全设备的日志、格式、告警类型,完全都不一样,日至底层的格式处理就是一个大麻烦,但这个不处理好,又没办法做事件关联。还有日志接入也是一个麻烦的事情,安全设备、网络设备和主机,这需要考虑一个接入的比例。所以大型企业可以考虑去做这个事情,如果资金和规模不大,搞一个全家桶,简单方便,重要是成本低。
@ 甜皮鸭
需要思考下,态势感知的目的到底是什么。最开始的态势感知,就是全流量,不过它只是 SOC 的输入。最开始,厂商对于 SOC 的定义,都是 SIEM,现在才扩大化,融入了 SOAR 的概念。现在安全运营中心,我个人浅显的理解是以 SOC 为基础,注入全流量、威胁情报、SIEM 为数据源,融入 SOAR 的概念,对于事件创建剧本,拉通各个安全防护设备进行处置,不过这个里面不止需要人,还需要自动处置的权利。
回归这道题,我个人感觉,目前甲方已经过了单纯买厂商态势感知的阶段了,之前在等保 2.0 之前,很多客户还是考虑厂商态势感知通过三级等保。但是通过几年的使用和等保 2.0 的施行,之前的态势感知更多是 HVV 期间用来溯源的,而且厂商的态感可以联动的只是自己的产品,上全家桶也不符合异构的理念,也不是安全防护的最优解。因此,变成了通过 SOC 来进行联动,需要很多定制化的内容,不可能是开箱即用了。
2.建 SOC 前没买过态势感知类的产品,是不是只需要建 SOC 就可以了? @ 番茄炒蛋
就了解的 SOC 功能来看,应该没有必要再单独买态势感知内产品,SOC 都是可以扩展的,省去了选型和多厂家沟通的成本。
态势感知就是各类安全数据的统计、分析、预测和展示(目前大多数做不到预测),SOC 是一个安全多功能集成平台,可以包括态势感知的功能,还有其他的比如资产管理、设备联动(比如漏扫)、流程集成、自动化处理等。
@ 回锅肉
态势感知的根本是什么?什么是态势,什么是感知?其实很多单位都没有搞清楚,这个其实很多单位还在针对具体安全问题,能力没有建设完成是用不上的,但是看别人有,也跟着上。
@ 椒盐排条
态势感知本身就是聚合安全信息的平台,各种安全设备联动信息和流量分析探针的聚会点,作为安全集中平台也够用了。再有 SOC 本身是锦上添花,或许 SOC 对信息资产有比较好的支持管理,同步过去比较方便按照资产去做管理。态感本身不支持日志产品的信息同步收集,SOC 可以在上层做大平台集约。
@ 温泉蛋
态势感知与 SOC 虽然不能直接画等号,但也是密切相关的,态势感知通常来说应该是一系列安全设备、产品构成,SOC 固然要包括这些,但是还有对应安全运营能力建设,组织团队、岗位人员等等。
3.如果建 SOC,需要买全流量存储设备吗? @ 番茄炒蛋
需要,主要用来确认告警和溯源。不止存储设备,全流量安全分析也是 SOC 重要数据来源之一,安全分析和存储如果一套设备能满足就再好不过了。
@ 红烧鱼
是的,全流量对于问题追溯比较重要。
@ 番茄炒蛋
是,溯源是主要作用,但是全流量很费硬盘,一般企业存不了多久。 转载来自 FreeBuf.COM