当前,安全管理平台(SOC)已成为企业提高信息安全水平的主要工具,但往往安全并不是靠某个工具就能解决,对平台赋能,给予必要的支撑十分重要,诸如态势感知,已成为支撑SOC建设的重要核心点,甚至将二者混为一谈。那么在具体建设过程中,该如何理清SOC相关服务产品间的关系及组织性,彼此该如何配合,以发挥最大效率,本期话题就围绕企业SOC平台建设相关问题展开讨论。
1.买了态势感知、某eye等服务,建设SOC是把这类告警再给SOC一次么?这样的体验真的好吗? 2.建SOC前没买过态势感知类的产品,是不是只需要建SOC就可以了? 3.如果建SOC,需要买全流量存储设备吗?
(本文所有ID已做匿名处理)
1.买了态势感知、某eye等服务,建设SOC是把这类告警再给SOC一次么?这样的体验真的好吗?
@乌冬面
SOC不只是接收单一告警,而是要上下文关联,更精确告警。
@宫保鸡丁
首先,什么是态势感知,什么是SOC。见过不少防火墙、杀毒之类的产品,也加了个“态势感知”的菜单,点进去最多算个看板。
@番茄炒蛋
主要还是看态势感知和SOC的定位,如果态势主要是展示大屏用,那么吐告警给SOC,结合其他日志做上下文关联分析,以及联动其他模块(比如SOAR)是有意义的。
@鱼香肉丝
某eye属于威胁感知吧,主要通过镜像流量接入。SOC应该把安全设备告警信息或主机、办公网、vpn...日志统一汇总到一个平台进行关联分析,对安全事件进行响应。个人理解区别。
@夫妻肺片
理想化的当然是接入,但是实际情况是SOC一次性处理不了那么大的日志量。
@温泉蛋
这里我先理解态势感知就是一些安全设备、平台哈,然后SOC是安全运营中心,算是个组织吧。我们有采购态势感知相关设备,本身投资比较大,还没有买齐全,目前是底层的一些探针服务器 、日志审计之类的,目的其实建立SOC的管理平台,态势感知把所有安全设备的日志能接入,体验好一点的就是不用每台安全设备上去巡检安全日志,一个个统计分析,能减轻些巡检分析的工作量。不过说实话,如果只是为了把日志都接入SOC平台方便你查询统计分析,而没有做安全联动以及更深化的网络安全管理提升工作,那SOC发挥的作用还有待提高,同样,你自有的安全设备是否充分用好了也是值得考量的。
@水煮肉片
态势感知建议考虑全家桶,就是硬件 软件,不然没专业团队处理日志,出不了效果,纯粹展示用。 各家安全设备的日志、格式、告警类型,完全都不一样,日至底层的格式处理就是一个大麻烦,但这个不处理好,又没办法做事件关联。还有日志接入也是一个麻烦的事情,安全设备、网络设备和主机,这需要考虑一个接入的比例。所以大型企业可以考虑去做这个事情,如果资金和规模不大,搞一个全家桶,简单 方便,重要是成本低。
@甜皮鸭
需要思考下,态势感知的目的,到底是什么。最开始的态势感知,就是全流量,不过它只是SOC的输入。最开始,厂商对于SOC的定义,都是SIEM,现在才扩大化,融入了soar的概念。现在安全运营中心,我个人浅显的理解是以SOC为基础,注入全流量、威胁情报、SIEM为数据源,融入soar的概念,对于事件创建剧本,拉通各个安全防护设备进行处置,不过这个里面不止需要人,还需要自动处置的权利。 回归这道题,我个人感觉,目前甲方已经过了单纯买厂商态势感知的阶段了,之前在等保2.0之前,很多客户还是考虑厂商态势感知通过三级等保。但是通过几年的使用和等保2.0的施行,之前的态势感知更多是HVV期间用来溯源的,而且厂商的态感可以联动的只是自己的产品,上全家桶也不符合异构的理念,也不是安全防护的最优解。因此,变成了通过SOC来进行联动,需要很多定制化的内容,不可能是开箱即用了。
2.建SOC前没买过态势感知类的产品,是不是只需要建SOC就可以了?
@番茄炒蛋
就了解的SOC功能来看,应该没有必要再单独买态势感知内产品,SOC都是可以扩展的,省去了选型和多厂家沟通的成本。 态势感知就是各类安全数据的统计、分析、预测和展示(目前大多数做不到预测),SOC是一个安全多功能集成平台,可以包括态势感知的功能,还有其他的比如资产管理、设备联动(比如漏扫)、流程集成、自动化处理等。
@回锅肉
态势感知的根本是什么?什么是态势,什么是感知?其实很多单位都没有搞清楚,很多单位还在针对具体安全问题,能力没有建设完成是用不上的,但是看别人有,也跟着上。
@椒盐排条
态势感知本身就是聚合安全信息的平台,各种安全设备联动信息和流量分析探针的聚会点,作为安全集中平台也够用了。再有SOC本身是锦上添花,或许SOC对信息资产有比较好的支持管理,同步过去的话比较方便按照资产去做管理。态感本身不支持日志产品的信息同步收集,SOC可以在上层做大平台集约。
@温泉蛋
态势感知与SOC,这个虽然不能直接画等号,但也是密切相关的,态势感知通常来说应该是一系列安全设备、产品构成,SOC固然要包括这些,但是还有对应安全运营能力建设,组织团队、岗位人员等等。
3.如果建SOC,需要买全流量存储设备吗?
@番茄炒蛋
需要,主要用来确认告警和溯源。不止存储设备,全流量安全分析也是SOC重要数据来源之一,安全分析和存储如果一套设备能满足就再好不过了。
@红烧鱼
是的,全流量对于问题追溯比较重要。
@番茄炒蛋
是,溯源是主要作用,但是全流量很费硬盘,一般企业存不了多久。
本期精彩观点到此结束啦~