首页
学习
活动
专区
工具
TVP
发布

了解安全运营中心SOC

信息安全管理问题是个从上而下的问题,不能指望通过某一种工具来解决,但良好的安全技术基础架构能有效的推动和保障信息安全管理。信息安全管理水平的高低不是单一的安全产品的比较,也不是安全产品的多少和时间的比较,而是组织的整体的安全管理平台效率间的比较,SOC(Security Operations Center)安全运营中心则是完全致力于分析流量并监控威胁和攻击安全管理平台。

1

SOC工作模块

1.资产管理:资产管理主要功能是对资产信息的维护和业务系统信息的维护,包括对资产的启停、资产口令设置、资产信息的导入/导出、定义资产属性等。资产管理应包含组织内部控制下的每台服务器,路由器,防火墙,以及正在使用的其他任何网络安全工具。

2.日志收集:大型网络中的不同节点处往往都部署了许多安全产品,承担各自的安全功能。首先要达到的目标是全面获取网络安全实时状态信息,解决网络安全管理中的透明性问题,解决网络安全的可管理控制性问题。从安全管理员的角度来说,最直接的需求就是在一个统一的界面中可以监视到网络中每个安全产品的运行情况,并对他们产生的日志和报警信息进行统一分析和汇总。

3.事件管理:安全事件管理主要完成对事件的集中收集、管理和分析。主要的功能包括事件收集、事件集中处理和实时关联分析。事件处理和关联分析主要负责对事件进行标准化、集中存储、合并、关联分析和统计。对于事件的过滤、 归并、关联分析,包括定期安装安全补丁和调整防火墙策略。

4.监控管理:监控管理是对 SOC内资产运行状态的监控,监控的内容包括可达率、平均响应率、 CPU使用率、内存使用率、接口使用率。通过计算评估设备的整体健康值,如果健康值低于一定的值,就产生不同级别的告警,设备健康告警可在统计告警规则中的综合规则设定。

5.告警管理:SOC的首要目标是从海量的攻击事件中,发现正在或将要影响系统、网络或应用的安全问题。

6.预警管理:对系统的预警进行管理,主要提供安全警告信息的存储及发布 ,包括增加、修改、删除等,也可以对预备预警进行相应的处理,如转正式预警或删除。创建预警后可以短信,邮件等方式通知相关人员。

7.报表管理:建立报表中心,用户可以方便地根据自身需求定制报表, SOC可以按用户的要求,事先生成报表,用户在查看报表时,可以获得极高的响应速度;支持报表订阅服务,按用户的订阅要求, SOC可以向用户推送报表。

2

SOC工作角色

1.合规审核员:合规审核员在SOC内流程的标准化中起着关键作用。他们本质上是作为质量控制部门,以确保SOC成员遵循协议或行业法规。

2.事件响应者:突发事件响应者是能够尽快对警报做出反应。使用广泛的监视服务来对警报的严重性进行排名,一旦被认为是全面的问题,他们就会介入到安全事件中快速处理。

3.SOC分析师:SOC分析人员负责审查过去的事件并确定其背后的根本原因。

3

SOC的优势

SOC是安全技术“大集成”过程中产生的,最初是为了解决安全设备的管理与海量安全事件的集中分析而开发的平台,后来由于安全涉及的方面较多,SOC逐渐演化成所有与安全相关的问题集中处理中心:设备管理、配置下发、统一认证、事件分析、安全评估、策略优化、应急反应、行为审计等等。

SOC对应安全事件管理的事前、事中、事后三个阶段,事前重点是防护措施的部署;事中是安全的监控与应急响应,对于可以预知的危险可以防护,但对于未知的危险只能是监控,先发现再想办法解决;事后是对安全事件的分析与取证,对于监控中没有报警的事件的事后分析。

网络安全成为所有组织的首要任务。SOC模型已被证明在许多情况下都是切实有效。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20200214A0DHZL00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券