现代 SOC 的 10 项基本功能

10个基本功能 现代SOC 数据驱动的安全运营中心（SOC）内部 表的内容 介绍3 数据驱动的soc的10个功能5 在安全运营中心将数据转化为操作 在过去两年中，巨大的不可预测性导致了根本性的变化。 在我们的生活和工作方式中。对于公共和私人组织而言，数字化转型已从优先事项变为迫切要求，并加速 云技术和数据的力量正在推动最关键的创新。安全团队发现自己不在外围，而是在震中，保持与转型同步，适应大流行挑战、地缘政治紧张局势、严重的人才短缺、更复杂的攻击和违规行为的增加 。 为了在这个不可预测的世界中蓬勃发展，弹性组织正在投资强大、灵活和快速的安全解决方案，这些解决方案由数据提供支持。跟 作为数据驱动的安全运营中心，组织可以保护、适应和快速响应遇到的任何问题，从而保护其组织免受不断变化的威胁。 您如何应对这些挑战并利用所有这些数据的力量？首先要实现安全运营中心（SOC）的现代化。 当今的SOC分析师被迫应对来自多个来源的数据，以不同的格式和更快的速度，但大多数SOC仍然没有将安全性作为数据问题来解决。有效的安全性需要对所有数据的可见性，来自所有系统和所有使用它们的人-以及相关上下文，以更好地了解和管理真正存在的风险。您需要能够跨多个系统及其创建的大量数据集成和工作的解决方案。您还需要能够帮助您浏览旨在聚合、监控和分析所有内容的复杂工具网络的解决方案。 安全的数据驱动的方法 在混合世界中，挑战不仅在于如何跟上所有数据的步伐，还在于如何将其转化为洞察力和行动。优化您的安全堆栈，以便您的团队能够以最佳性能运行，需要一个单一的数据平台，让团队能够自由地采取明智的行动-从调查和监控到编排和补救。 单一的整体数据平台不仅可以增强安全性。它帮助整个组织以更少、更智能的技术投资、更低的复杂性和更多的创新机会来挖掘数据的力量。 借助数据驱动型平台作为现代SOC的基石，您可以从整个组织引入数据，以帮助解决最紧迫的安全问题 。为了保护复杂的环境，您的团队需要端到端的可见性。为此，您需要一个平台，旨在跨企业规模的不同数据流摄取、规范化和提供见解，而无需采样。读取时架构和分布式索引工具可以快速轻松地从任何数据源收集和分析数据。 在该平台上，现代SOC需要集成的安全工具，以便在需要时使用内置的威胁情报和基于风险的高级分析提供可操作的信息。这些工具甚至可以按组织风险确定事件的优先级，这样您的团队就不会错过任何一个节拍。您还可以通过自动执行重复性任务并以机器速度响应威胁来解放安全分析师，让他们更智能地工作。理想情况下，除了所有这些机器智能之外， 现代SOC|10的基本功能Splunk3 摄取 检测 自动化 预测 编排 推荐 合作 调查 管理案例 报告 现代SOC还包括访问真实的人类安全专家，他们可以让您及时了解快速移动和备受瞩目的威胁否则错过。 这些工具共同提供跨本地的统一安全态势，混合和多云环境。基于强大数据平台构建的响应式SOC 可提供更好、更快的威胁检测、调查和修复功能，同时还可以帮助您的组织建立弹性并释放创新能力。 构建一个现代SOC 安全团队在前线努力工作，识别、分析和缓解其组织面临的威胁。但尽管他们尽了最大的努力，事件积压工作每天都在继续增加。现实情况是，根本没有足够的熟练专业人员来分析大多数组织面临的事件量。 但是，由统一数据平台提供支持并构建在统一数据平台上的现代SOC具有整个企业的可见性 ，为每个团队成员创建一个通用的工作台面。无缝集成其他供应商工具的单一安全运营解决方案意味着您的团队不必再在数十种产品之间切换。而且，连同一项工作 Surface适用于所有团队成员，让分析师腾出时间专注于更重要的事情。 现代SOC需要统一的解决方案，而不是临时拼凑的工具。一个数据-具有强大分析功能的驱动安全解决方案可以优化功能的中小型员工，让他们深入了解要保留的潜在威胁 他们不会在错误警报上浪费时间。不仅如此，现代数据驱动的SOC还可以利用高级机器学习（ML）、自动化和编排技术以及复杂的威胁情报，在一个统一的解决方案中。 若要构建现代SOC，组织需要一个支持以下10项功能的安全运营平台： 10个功能 1.摄取 由于数据是一个安全问题，因此所有数据都与安全相关。现代SOC需要能够从任何来源和企业规模引入、规范化和提供对所有数据的见解。您还需要能够轻松高效地收集和组织这些数据。 2.检测 当安全事件发生时，您需要工具来尽可能快速准确地检测它。现代SOC可以帮助您使用机器学习分析检测威胁，并提供团队采取行动所需的关键见解。 3.预测 假设您在发现安全事件前30分钟收到警报。想象一下，这可以为您的SOC做些什么。预测安全事件的能力使SOC能够主动将事件升级到人类的注意，或使用预定义的流程简化响应。那里是新兴的预测技术，可以为分析师提供预警、前兆或更大规模攻击的指标，并在未知因素成为更大的风险之前识别它们。 4.自动化 自动化是帮助SOC分析师的新技术之一。组织在其自动化之旅中处于不同的阶段，但是当在安全操作方面，SOC越能自动执行日常的手动任务越好。安全自动化工具采用标准操作程序，并将其转化为数字行动手册，可加速威胁调查、扩充、搜寻、遏制和补救，在短短40秒内完成过去需要30分钟的流程。通过工作中自动化，您的分析师可以专注于实际需要人类智能的优先事项。 5.编排 随着时间的推移，您可能已经购买了数十种产品来为您的SOC提供支持，而不是因为您有额外的预算要花 。这些工具中的大多数都提供持续的功能并增加您的防御，但它们还没有发展到跟上不断变化的威胁和API 驱动的世界的步伐。 这就是编排的用武之地。业务流程允许您插入并连接SOC内部和外部的所有内容。您不再需要为每个产品打开新的浏览器选项卡或单独的单点解决方案登录名，并且您消除了从不同解决方案复制和粘贴。能力协调所有产品可消除开销，减少挫败感，并帮助分析师将精力集中在有意义的任务上。 现代SOC|10的基本功能Splunk5 6.推荐 至此，在数据驱动的SOC中，所有与安全相关的数据（即全部数据）已被摄取，通过机器智能过滤并自动化行动手册，并使用精心编排的工具进行评估和管理。 如果为SOC提供支持的平台也可以告诉您的分析师他们下一步应该做什么，那不是很好吗？现代安全运营解决方案可以通过提出建议来做到这一点。建议可以以个人行动或剧本的形式出现，在两个方面有所帮助：1）对于新分析师来说，建议是一种教育工具，这样他们就可以了解当类似的威胁再次出现时该怎么做，2）对于有经验的分析师来说，它可以作为值得信赖的第二意见或提醒。 7.调查 很有可能，您的SOC分析师正淹没在警报的海洋中并浪费小时低保真警报，他们最终放弃。现代 SOC可以帮助他们准确地确定事件调查和响应的优先级， 自信和轻松。基于风险的警报等最新技术减少了所有这些警报的“噪音”，以便它们专注于重要的警报，并检测它们可能错过的复杂威胁。数据驱动的SOC解决方案还可以自动将相关事件收集到单个事件中，以帮助更快地采取行动和解决问题。所有这些都有助于集中时间和资源，确定任务的优先级，并提供协调的工具，以便分析师可以将他们的人类智慧用于无法自动化的精确、细致的调查和分析。 8.合作 安全是一项团队运动，需要协调、沟通和协作。在SOC环境中，不能删除任何内容，必须全面处理事件 。团队需要能够跨所有工具、人员和流程进行实时协作，并尽可能多地提供可见性和洞察力。数据驱动的安全运营解决方案可以做到这一点，将关键信息、想法和数据放在最前沿。这些功能有助于安全性 团队更好地协作，邀请SOC外部的人员帮助处理警报，与同行共享关键的、时间敏感的详细信息，并最终作为一个行业进行协作。 9.管理 即使拥有最好的分析师团队和所有这些现代数据驱动功能，让我们面对现实吧。安全事件仍在发生。重要的是，当它们确实发生时，安全团队配备了管理响应过程所需的一切。团队需要确保他们有响应计划、工作流程、证据收集、沟通、文档和时间表。这就是为什么事件案例管理也成为现代SOC的核心功能。 10.报告 您无法管理无法衡量的内容。我们生活在一个数据驱动的世界安全性也不例外-这就是为什么您现在可以衡量安全流程。拥有正确的报告工具有助于了解性能，因此安全团队可以准确地衡量他们所处的位置和 他们需要去的地方。当今的SOC通常依赖于太多不同的平台，几乎不可能获得准确的报告，更不用说快速了。和 当今的组织面临着巨大的合规性、业务和任务挑战，快速、准确的报告比以往任何时候都更加重要。 现代SOC|10的基本功能Splunk6 进入Splunk Splunk的®平台是你开始的地方。Splunk的用于安全性和可观测性的统一平台。这意味着借助Splunk，组织可以查看其所有数据，从而获得快速洞察，准确、自信、轻松地做出响应 ——做一个综合的解决方案。 Splunk可以在企业范围内实时监控和分析来自任何来源的数据。Spunk可跨多云和混合环境工作，为您的SOC分析师提供强大的调查、分析和工具 编排，以便他们可以快速查找和修复威胁，和准确性。 Splunk以数据为中心的统一安全运营解决方案将领先的安全信息事件管理（SIEM ）、用户行为分析（UBA）和安全编排、自动化和响应（SOAR）技术与集成的威胁情报相结合。Splunk还与MITREATT&CK，美国国家标准与技术研究院（NIST）和网络杀伤链等关键行业框架保持一致。对于公共部门，Splunk符合政府安全要求，如FedRAMP中等和IL5。 Splunk企业安全（ES）是一种数据驱动的SIEM解决方案，快速、强大且灵活，可全面了解组织的安全状况，以便您可以大规模防范威胁并降低风险。具有无与伦比的搜索和报告、高级分析、基于风险的警报、集成智能和预打包 安全内容，SplunkES加速威胁检测 和调查，以便您的SOC分析师可以快速评估 高优先级威胁的范围并采取行动。SplunkES将机器学习、异常检测和基于标准的关联整合到一个安全分析解决方案中。 借助Splunk的用户行为分析工具SplunkUBA，组织可以使用机器学习检测未知威胁和异常行为。高级威胁检测可发现传统安全工具遗漏的异常和未知威胁 。自动将数百个异常拼接成一个威胁将有助于您的安全分析师提高工作效率。针对任何实体、异常或威胁的深入调查功能和强大的行为基线将加速您的威胁搜寻 。 现代SOC|10的基本功能Splunk7 Splunk安全操作解决方案 统一数据,分析和操作 Splunk任务控制 SplunkSIEM(ES&非洲联合银行) Splunk 飙升 Splunk的情报管理 3理查德·道金斯 方的工具 数据源 事件日志,指标和痕迹 SpunkSOAR，Splunk的安全运营、自动化和响应解决方案，让安全团队更智能地工作， 更快地响应并加强组织的安全防御。SplunkSOAR可自动执行重复性任务，因此您的团队可以将时间和注意力集中在最重要的事件和行动上。它通过自动调查减少停留时间，并通过以机器速度执行的剧本缩短响应时间。SOAR还与您现有的安全基础架构集成，以便每个部分都积极参与防御策略，并且所有部分协同工作。 Splunk情报管理是Splunk的威胁情报工具，可自动执行数据编排，以在安全运营的所有阶段集中、规范化情报并确定情报优先级。它打破了数据孤岛，帮助协调安全性实现业务目标的有效性，提高网络弹性和运营效率。借助Splunk智能管理层，您的团队可以轻松选择情报来源，包括开源、高级英特尔提供商以及历史事件和警报的集合。然后他们可以应用优先级分数、安全列表和基于指标的筛选类型或属性，并将准备好的数据提交到数据存储库或所选的指定应用程序中。 Splunk任务控制是一个统一的体验呢实现安全运营现代化并对其进行优化。基于云的软件即服务（SaaS）解决方案允许您在整个安全事件生命周期中检测、管理、调查、搜寻、包含和修复威胁和其他高优先级安全问题，所有这些都来自一个通用的工作台面。