SOAR资讯 (转载)SIEM、SOC、MSS 三者的区别与联系

sunc1252 · 2022年06月06日 · 943 次阅读

前言 SIEM 和 SOC 在国内并不是一个新兴的名词,相反在国内安全圈内经过了 10 余年的挣扎,SIEM 已经趋于成熟,但是 SOC 仍处于一个鸡肋的位置,我认为其主要原因在 SOC 受制于国内体制、政策、相关日志标准、应用环境、传统认识的制约,从而它在国内一开始就是以产品的方式出现。缺少了 MSS 的辅助 SOC 就像是要求汽车驾驶员去驾驶维护飞机,这也是国内 SOC 一直无法用起来的主要原因。 而以 SOC 为基础的 MSS(可管理安全服务)一直无法发展状大的原因有二。

欧美国家对 MSS 服务的技术封锁。 提供 MSS 服务要求拥有相当经验高级安全分析专家、完整的 SOC 运维团队;标准的安全事件响应与处理流程、SLA;成熟的信息安全检测模型、威胁场景库;精确的警报系统、报告系统。学习和建立这一套服务体系不光要耗费大量的金钱、时间与人力,还需要海量的运营资源来实践,可见要拉出一支这样的团队实属不易。 高昂的人力成本与客户现场运维相冲突。 做到以上 MSS 服务的要求需要的成本非常高昂,这就意味是如果要使其商业化最好的方式是集中式管理运营,这点与国内高端客户普遍要求服务商在现场运维是相冲突的。欧美国家的 MSS 服务之所以盛行,其原因是其相关信息安全标准已经非常成熟,国家与商业机构都已经普遍执行并认可,所以 MSS 所要求的日志外传 + 集中式管理运营(安全日志代运维)得到了接受和认可。 什么是 SIEM SIEM (安全信息和事件管理) 是软件和服务的组合,是 SIM(安全信息管理)和 SEM(安全事件管理)的融合体。两者的区别在 于 SEM 侧重于实时监控和事件处理方面,SIM 侧重历史日志分析和取证方面。SIEM 为来自企业和组织中所有 IT 资源(包括网络、系统和应用)产生的安全信息(包括日志、告警等)进行统一的实时监控、历史分析,对来自外部的入侵和内部的违规、误操作行为进行监控、审计分析、调查取证、出具各种报表报告,实现 IT 资源合规性管理的目标,同时提升企业和组织的安全运营、威胁管理和应急响应能力。

什么是 SOC SOC(安全运营中心)来源于 NOC(网络运营中心)。 随着信息安全问题的日益突出,安全管理理论与技术的不断发展,需要从安全的角度去管理整个网络和系统,而传统的 NOC 在这方面缺少技术支撑,于是,出现了 SOC 的概念。 目前所说的 SOC 是 SOC 1.0 阶段,只是在 SOC 的核心部件 SIEM 的买卖,国外所说的 SOC 是一个复杂的系统,它使用 SIEM 产品进行运维又以此向客户提供服务,也就是我们所说的 SOC 2.0/MSS。 SOC(安全运营中心) 是以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件及风险分析,预警管理,应急响应的集中安全管理系统。 SOC 是一个复杂的系统,它既有产品,又有服务,还有运维,SOC 是技术、流程和人的有机结合。

什么是 MSS MSS(可管理安全服务)是由专业的 MSSP(可管理安全服务提供商)提供的安全运维外包服务。 MSS 可为客户带来以下收益。 1.降低成本:人员配置,技能要求,场地需求。

  1. 全天候监控:7×24 的监控服务。
  2. 风险监控:有效监控安全风险,第一时间提供解决方案。
  3. 发现和解决问题:及时发现和解决可能存在的安全问题。 5.趋势分析:专业的安全趋势分析,月、季、年安全分析报告。 6.日志存储和查询:日志有效存储和备份、快速查询定位。

SIEM、SOC 和 MSS 的区别与关联 SIEM 侧重于日志的集中式管理和审计,SOC 则用于安全日志的分析和安全风险的监控与定位。两者的侧重点不同决定了,SIEM 可以用产品来交附而 SOC 则必需加入 MSS 服务的人工干预来完善。 对于两者之间的区别,SIEM 只做到了传统的安全日志数量统计,SOC+MSS 则是对安全日志重定义并生成新的安全事件,实现对安全日志的归并、过滤与威胁定级,将安全警报量化。例如,A 公司受到黑客的 DDoS 攻击,15 分钟内收到了 20W 条相关的安全日志。SIEM 报给客户的报警为 20W 条,而 SOC 报给客户的报警为 1 条,显然在安全风险管理的角度上来看,SIEM 的计数方式是不科学的。 MSS 服务结合 SOC 则能做到智能化监控、分析、预警服务,改变过往自行维护繁复的安全信息与事件管理平台的习惯,摒弃安全信息与事件管理平台的复杂化,从管理的简易性、事件呈现、事件处理等角度提供解决方案,可以通过门户网站的模式获得所关心的内容,同时也可以在指定时间内通过电话等多种形式得到安全响应和相应的安全解决方案,在门户网站上也能得到更加详细的解决方案内容。

原文链接:https://blog.csdn.net/m0_53087192/article/details/119607031

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册