安全运营中心(SOC)技术框架

2018年曾经画过一个安全运营体系框架,基本思路是在基础单点技术防护体系基础上,围绕着动态防御、深度分析、实时检测,建立安全运营大数据分析平台,可以算作是解决方案+产品的思路。

依据这个体系框架,当时写了《基于主动防御能力,建设安全运营体系的一点思考》文章,感兴趣的可以翻回去看下。

最近对安全运营中心(SOC)技术框架进行了一个梳理,可以算作是对2018年安全运营体系框架的一个升级版本,不同的是这次从安全运营中心(SOC)职能出发,对其日常工作需要进行支撑的技术模块进行了梳理。

由于某些原因,最新的框架图就不直接放上来了,但是对其中的内容拆解后,罗列一下提纲。

安全运营中心(SOC)总体框架核心内容,从下到上分为安全数据层、基础运营层、进阶运营层、风险绩效层五个部分。在安全运营中心(SOC)下的基础还是安全防护体系(安全资源层),贯穿每层会有外部输入、外部输出的内容。

数据资源层可以叫做大数据湖(Big Data Lake),或者叫做安全大数据中心(Security Data Center)都可以,其中的数据类别包括安全告警数据(高威胁、低可信)、内容数据(低威胁、高可信)、上下文数据(资产、威胁、漏洞等),当然数据内容多少是随着运营成熟度而逐渐丰富的。

基础运营层为较低成熟度安全运营内容,包括资产管理、漏洞管理、安全告警分析、威胁情报TIP这几个部分。依托于资产测绘系统、漏洞与基线系统、安全信息与事件管理平台(SIEM)、威胁情报平台就可以实现。

基础运营层最为核心的当然是安全告警分析了,可以具体再细分为实时分析、离线分析两类。具体的可以参见下图:

基础运营层的特点是有各自系统与平台,按人员分工分别运营并依靠管理制度进行协作,实现的都是基础性安全工作。对于一般性的企业能够把这些做好了,已经非常不错了。

如果往高成熟度发展,一个是要提高运营效率,包括编排与自动化、事件聚合、智能交互等都是为了提高效率;另外一个当然是增强运营效果,核心就是对抗安全高级威胁,包括威胁诱捕、安全取证、漏洞挖掘、实战对抗等。

这时候就要考虑进阶安全运营的内容了,这一层按照性质不同分为两个部分,第一个部分就是当前比较热的安全编排与自动化响应,这一部分其实是安全高阶运营所应该具备的能力,去支撑或赋能高阶运营工作的开展。

相关推荐
soso19682 分钟前
DataWorks快速入门
大数据·数据仓库·信息可视化
The_Ticker7 分钟前
CFD平台如何接入实时行情源
java·大数据·数据库·人工智能·算法·区块链·软件工程
java1234_小锋12 分钟前
Elasticsearch中的节点(比如共20个),其中的10个选了一个master,另外10个选了另一个master,怎么办?
大数据·elasticsearch·jenkins
Elastic 中国社区官方博客13 分钟前
Elasticsearch 开放推理 API 增加了对 IBM watsonx.ai Slate 嵌入模型的支持
大数据·数据库·人工智能·elasticsearch·搜索引擎·ai·全文检索
我的运维人生14 分钟前
Elasticsearch实战应用:构建高效搜索与分析平台
大数据·elasticsearch·jenkins·运维开发·技术共享
大数据编程之光30 分钟前
Flink Standalone集群模式安装部署全攻略
java·大数据·开发语言·面试·flink
B站计算机毕业设计超人32 分钟前
计算机毕业设计SparkStreaming+Kafka旅游推荐系统 旅游景点客流量预测 旅游可视化 旅游大数据 Hive数据仓库 机器学习 深度学习
大数据·数据仓库·hadoop·python·kafka·课程设计·数据可视化
Smartdaili China1 小时前
如何在 Microsoft Edge 中设置代理: 快速而简单的方法
前端·爬虫·安全·microsoft·edge·社交·动态住宅代理
儒道易行2 小时前
【DVWA】RCE远程命令执行实战
网络·安全·网络安全
在下不上天2 小时前
Flume日志采集系统的部署,实现flume负载均衡,flume故障恢复
大数据·开发语言·python