【.com快译】安全运营中心(SOC)主要负责维护、监控和保护组织内的信息系统和服务资源。作为情报中心,它可以实时收集流经组织内部资产(包括服务器、网络、终端等)的数据信息,并据此识别安全事件并做出有效及时的响应。通常,SOC将涉及范围广泛的技术、流程和经验丰富的安全专家团队。为了提高效率,SOC经常使用各种自动化工具来简化和支持团队的日常工作。例如,自动化流程可以帮助他们识别现有网络中的安全威胁,根据既定的风险标准和其他因素确定优先级,并根据需要提供相应的解决方案和建议。总之,SOC的主要活动和职责包括:网络监控——通过不断改进异常检测能力,提高各种数字活动的可见性。预防技术——实施这些技术是为了广泛预防和预防已知和未知的风险。威胁检测和情报-协助评估和确定每个安全事件的起源、严重性和影响。主动事件响应和补救-通过自动化工具和人工干预提供支持。报告功能-确保所有事件和威胁都及时输入数据存储库以供后续分析。其报告的内容将有助于使未来的响应更加及时和准确。风险与合规性——确保执行和遵守政府和行业的各种法律法规。SOC技术栈的基本构成俗话说,没有过硬的技术,SOC根本无法运行。让我们讨论构成安全堆栈的关键工具。安全信息和事件管理(SIEM)SIEM自动聚合、分析和关联来自多个网络源的大量安全相关数据。它可以帮助您将各种日志数据和网络流量整合到一个仪表盘中,以便所有相关方可以轻松使用这些信息。SIEM解决方案通常带有内置分析功能,允许安全团队可视化数据、识别趋势和识别可疑模式。例如,通过收集和关联来自一系列来源的数据,SIEM系统可以帮助分析人员识别看似无关的活动和事件之间的关系,从而发现潜在的攻击信号。SIEM平台的另一个优势是它们可以将数据集成到报告中。也就是说,SIEM平台可以出于合规目的自动生成审计报告。这些报告通过展示组织内的当前风险概况,帮助各种利益相关者(包括没有网络安全经验的高管和其他决策者)了解组织的安全态势。威胁情报威胁情报平台可以与SIEM系统集成以提供警报上下文。如今,组织经常使用一整套安全工具,每个工具都会生成各种警告。如前所述,SIEM技术能够汇集各种工具生成的信息。威胁情报工具将使用各种威胁向量和技术数据来使这些信息更加“丰富”和有根据。可以说,将威胁情报与SIEM结合使用的主要优势在于,安全运营团队可以确定警报的优先级,减少误报的数量,确保自动化流程更加高效,并在尽可能短的时间内处理真正可疑的流程。异常行为和攻击。当然,除了对警告进行优先级排序,威胁情报团队还可以提供上下文信息,供分析人员有针对性地评估和确定每条警告的真实内容和风险等级。事实上,分析师和其他利益相关者可以使用威胁情报平台来快速确定警报来源、识别受影响的系统和设备并发现威胁的类型。如果需要,分析师还可以快速深入挖掘并追查相关的恶意活动。Web应用程序防火墙(WAF)WAF旨在保护目标网络免受恶意流量的侵害。参考OWASP十大安全漏洞、零日威胁、未知应用程序漏洞等基于Web的威胁,及时有效地保护关键业务Web应用免受各种威胁。尽管WAF有多种类型,但它们都有一个相似的目标——通过分析各种HTTP交互,在恶意攻击到达服务器之前减少或消除恶意流量的接纳。与传统防火墙相比,WAF可以更好地理解通过HTTP传输的各种敏感信息。也就是说,WAF可以防止通常会绕过传统网络防火墙的攻击。另一个关键优势是WAF不需要更改应用程序的源代码,而是通过检测恶意流量来防止黑客利用应用程序漏洞。扩展检测与响应(eXtendedDetectionandResponse,XDR)XDR技术属于主动防御类型的安全技术栈(参见--https://www.cynet.com/xdr-security/understanding-xdr-security-concepts-功能和用例/)。它不仅提供跨多个数据源的全面可见性,还使用警报分类和威胁搜寻来搜索数字资产中的未知威胁。借助大数据分析和人工智能(AI),XDR可以进行自动化智能搜索、数据关联,为包括云、网络、终端在内的环境提供各种丰富的属性值。在搜索威胁之前,XDR解决方案会分析所有数据源中实体、操作和用户的行为。通过事先关联此类信息,以创建被视为正常行为的基线。基线建立后,XDR技术会检索各种异常行为,并进行对比分析,让分析人员更有针对性地发现威胁。SOC通常使用XDR技术来发现威胁的来源和当前位置。同时,运营团队还可以使用XDR来简化工作流程,减少多任务处理的时间和复杂性。这里的多任务处理主要包括:事件调查与响应、威胁搜寻、事件分类。零信任零信任安全模型的基本原则是网络上的任何组件都不可信任。它假设用户帐户和设备已被泄露,授予任何用户或设备尽可能少的权限,并不断验证身份。据此,零信任可以确保添加和实施更多的安全层,以防止恶意行为者潜入网络,同时还可以防止内部人员执行未经授权的操作。从零信任的角度来看,内部网络与外部网络同样容易受到威胁,因此需要同样受到保护。因此,那些已经实施了零信任的组织都会实施物理和逻辑网络分段技术,以确保网络中的每个实体只能连接到相关资产,而不能横向移动到网络的其他部分。在技??术实现上,零信任网络技术将对连接到企业系统的用户、应用程序和服务角色进行强认证,并使用策略引擎来确定“在什么情况下,允许谁访问什么内容”。安全自动化、编排和响应(SecurityAutomation,Orchestration,andResponseSOAR)SOAR是一个使用一系列集成工具自动检测和响应警报的平台。SOAR不是一个独立的系统,但可以有效地编排和利用部署在SOC内的其他系统。SOAR通常可以提供以下功能:传统任务的自动化——包括漏洞扫描、日志查询、新用户配置、冻结非活跃账户配置。自动化响应——SOAR会根据计划,按照预定义的脚本(playbook)自动响应各种警告。编排-通过集成和关联多个安全工具的输出来自动分析各种安全事件。可以说,SOAR不仅可以使用自动化的playbook来显着加快对警告的响应速度,还可以确保安全分析师不会将时间浪费在重复的手动任务上,然后利用他们现有的分析技能进行更有效的利用。对于复杂的威胁场景。区块链网络安全由于区块链技术可以在交易双方之间建立真实的身份通信,也就是业内常说的点对点网络设计,区块链网络安全一直受到越来越多的关注和注意力。在这个模型中,区块链的每个成员都有责任验证任何添加数据的真实性。因此,它为数据创建了一个几乎无法穿透的网络,从而提供了高度的安全性。总结通过以上技术的综合利用,SOC可以广泛、全面地检测和应对各种安全威胁。最后,让我们总结一下SOC如何有效地使用这些高级安全工具:SIEM系统可以从整个组织收集各种安全事件并生成可操作的警报。威胁情报可以使用来自全球数百万安全事件的数据来丰富组织对内部事件的判断。Web应用程序防火墙(WAF)为应用程序流量提供实时安全层,可以通过设置策略和规则将其动态应用于各种流量模式。扩展检测和响应(XDR)支持跨越IT环境多个部分的攻击,以实现统一的可见性、检测和响应。零信任对企业网络的内部流量提供更严格的控制,并防止特权帐户通过横向移动构成威胁。安全自动化、编排和响应(SOAR)可以定义一系列复杂的自动化活动,通过组合多种安全工具来自动响应安全事件。区块链网络安全保护敏感数据,使其对攻击者毫无用处。原标题:TheSOCTechnologyStack:XDR,SIEM,WAF,andMore,作者:EddieSegal
