安全运营中心(SOC)技术框架

2018年曾经画过一个安全运营体系框架,基本思路是在基础单点技术防护体系基础上,围绕着动态防御、深度分析、实时检测,建立安全运营大数据分析平台,可以算作是解决方案+产品的思路。

依据这个体系框架,当时写了《基于主动防御能力,建设安全运营体系的一点思考》文章,感兴趣的可以翻回去看下。

最近对安全运营中心(SOC)技术框架进行了一个梳理,可以算作是对2018年安全运营体系框架的一个升级版本,不同的是这次从安全运营中心(SOC)职能出发,对其日常工作需要进行支撑的技术模块进行了梳理。

由于某些原因,最新的框架图就不直接放上来了,但是对其中的内容拆解后,罗列一下提纲。

安全运营中心(SOC)总体框架核心内容,从下到上分为安全数据层、基础运营层、进阶运营层、风险绩效层五个部分。在安全运营中心(SOC)下的基础还是安全防护体系(安全资源层),贯穿每层会有外部输入、外部输出的内容。

数据资源层可以叫做大数据湖(Big Data Lake),或者叫做安全大数据中心(Security Data Center)都可以,其中的数据类别包括安全告警数据(高威胁、低可信)、内容数据(低威胁、高可信)、上下文数据(资产、威胁、漏洞等),当然数据内容多少是随着运营成熟度而逐渐丰富的。

基础运营层为较低成熟度安全运营内容,包括资产管理、漏洞管理、安全告警分析、威胁情报TIP这几个部分。依托于资产测绘系统、漏洞与基线系统、安全信息与事件管理平台(SIEM)、威胁情报平台就可以实现。

基础运营层最为核心的当然是安全告警分析了,可以具体再细分为实时分析、离线分析两类。具体的可以参见下图:

基础运营层的特点是有各自系统与平台,按人员分工分别运营并依靠管理制度进行协作,实现的都是基础性安全工作。对于一般性的企业能够把这些做好了,已经非常不错了。

如果往高成熟度发展,一个是要提高运营效率,包括编排与自动化、事件聚合、智能交互等都是为了提高效率;另外一个当然是增强运营效果,核心就是对抗安全高级威胁,包括威胁诱捕、安全取证、漏洞挖掘、实战对抗等。

这时候就要考虑进阶安全运营的内容了,这一层按照性质不同分为两个部分,第一个部分就是当前比较热的安全编排与自动化响应,这一部分其实是安全高阶运营所应该具备的能力,去支撑或赋能高阶运营工作的开展。

相关推荐
安全系统学习1 小时前
【网络安全】Mysql注入中锁机制
安全·web安全·网络安全·渗透测试·xss
永洪科技4 小时前
永洪科技荣获商业智能品牌影响力奖,全力打造”AI+决策”引擎
大数据·人工智能·科技·数据分析·数据可视化·bi
weixin_307779134 小时前
Hive集群之间迁移的Linux Shell脚本
大数据·linux·hive·bash·迁移学习
深圳安锐科技有限公司5 小时前
深圳安锐科技发布国内首款4G 索力仪!让斜拉桥索力自动化监测更精准高效
运维·安全·自动化·自动化监测·人工监测·桥梁监测·索力监测
潘锦5 小时前
海量「免费」的 OPENAI KEY,你敢用吗?
安全·openai
冰橙子id6 小时前
linux系统安全
linux·安全·系统安全
上海锝秉工控7 小时前
防爆拉线位移传感器:工业安全的“隐形守护者”
大数据·人工智能·安全
cv高级工程师YKY7 小时前
SRE - - PV、UV、VV、IP详解及区别
大数据·服务器·uv
你不知道我是谁?9 小时前
AI 应用于进攻性安全
人工智能·安全
bxlj_jcj9 小时前
深入Flink核心概念:解锁大数据流处理的奥秘
大数据·flink