这篇研报主要介绍了过程技术人SOC的开始安全运营中心(SOC)的重要性以及构建SOC的步骤。SOC通过将关键安全人员和事件数据整合到一个集中位置来帮助提高安全性和合规性,从而可以大大加快和增强事件检测和响应。构建SOC需要在人员、流程和技术方面进行大量的前期和持续投资,但改善安全状况所带来的好处远远超过成本。过程构建SOC从威胁建模开始,确定关键的网络威胁,然后确定如何检测和修复它们。任何SOC的关键部分是响应警报和事件的过程,大多数SOC使用多层方法。技术方面,Splunk软件可用作安全智能平台,为您的SOC提供支持,使SOC人员和流程更加高效,补充SOC中的现有SIEM。恶意软件工程师、SOC架构师、SOC导演、法医专家是三线分析的人员,而二级分析师、一级分析师是 SOC 的职责。 SOC 需要和人员包括预防、威胁狩猎、反情报、恶意软件反向器、电子邮件网络流、服务器入侵检测、安全智能平台等。人员方面,需要一组不同的人员,每个人都具有不同的技能、资格、个性和薪酬等级。技术方面,安全智能平台是 SOC 中的一项关键技术,该平台必须能够实时索引来自安全和非安全来源的所有相关机器数据和日志文件。
