安全运营中心(SOC)技术框架

2018年曾经画过一个安全运营体系框架,基本思路是在基础单点技术防护体系基础上,围绕着动态防御、深度分析、实时检测,建立安全运营大数据分析平台,可以算作是解决方案+产品的思路。

依据这个体系框架,当时写了《基于主动防御能力,建设安全运营体系的一点思考》文章,感兴趣的可以翻回去看下。

最近对安全运营中心(SOC)技术框架进行了一个梳理,可以算作是对2018年安全运营体系框架的一个升级版本,不同的是这次从安全运营中心(SOC)职能出发,对其日常工作需要进行支撑的技术模块进行了梳理。

由于某些原因,最新的框架图就不直接放上来了,但是对其中的内容拆解后,罗列一下提纲。

安全运营中心(SOC)总体框架核心内容,从下到上分为安全数据层、基础运营层、进阶运营层、风险绩效层五个部分。在安全运营中心(SOC)下的基础还是安全防护体系(安全资源层),贯穿每层会有外部输入、外部输出的内容。

数据资源层可以叫做大数据湖(Big Data Lake),或者叫做安全大数据中心(Security Data Center)都可以,其中的数据类别包括安全告警数据(高威胁、低可信)、内容数据(低威胁、高可信)、上下文数据(资产、威胁、漏洞等),当然数据内容多少是随着运营成熟度而逐渐丰富的。

基础运营层为较低成熟度安全运营内容,包括资产管理、漏洞管理、安全告警分析、威胁情报TIP这几个部分。依托于资产测绘系统、漏洞与基线系统、安全信息与事件管理平台(SIEM)、威胁情报平台就可以实现。

基础运营层最为核心的当然是安全告警分析了,可以具体再细分为实时分析、离线分析两类。具体的可以参见下图:

基础运营层的特点是有各自系统与平台,按人员分工分别运营并依靠管理制度进行协作,实现的都是基础性安全工作。对于一般性的企业能够把这些做好了,已经非常不错了。

如果往高成熟度发展,一个是要提高运营效率,包括编排与自动化、事件聚合、智能交互等都是为了提高效率;另外一个当然是增强运营效果,核心就是对抗安全高级威胁,包括威胁诱捕、安全取证、漏洞挖掘、实战对抗等。

这时候就要考虑进阶安全运营的内容了,这一层按照性质不同分为两个部分,第一个部分就是当前比较热的安全编排与自动化响应,这一部分其实是安全高阶运营所应该具备的能力,去支撑或赋能高阶运营工作的开展。

相关推荐
阿里云大数据AI技术3 分钟前
[VLDB 2025]面向Flink集群巡检的交叉对比学习异常检测
大数据·人工智能·flink
pingao14137837 分钟前
雨雪雾冰全预警:交通气象站为出行安全筑起“隐形防护网”
安全
青云交1 小时前
电科金仓 KingbaseES 深度解码:技术突破・行业实践・沙龙邀约 -- 融合数据库的变革之力
大数据·数据安全·数字化转型·kingbasees·企业级应用·融合数据库·多模存储
shinelord明1 小时前
【计算机网络架构】网状型架构简介
大数据·分布式·计算机网络·架构·计算机科学与技术
kura_tsuki1 小时前
[Linux入门] Linux 远程访问及控制全解析:从入门到实战
linux·服务器·安全
lucky_syq2 小时前
Flink窗口:解锁流计算的秘密武器
大数据·flink
gorgor在码农4 小时前
Elasticsearch 的聚合(Aggregations)操作详解
大数据·elasticsearch·搜索引擎
Hello.Reader4 小时前
Elasticsearch安全审计日志设置与最佳实践
安全·elasticsearch·jenkins
BigData共享4 小时前
StarRocks 使用 JNI 读取数据湖表引发的堆内存溢出分析
大数据
Aurora_NeAr5 小时前
大数据之路:阿里巴巴大数据实践——大数据领域建模综述
大数据·后端