下圖概述了 SOC 在攻擊復(fù)雜性和攻擊量方面的各種典型功能。盡管這很難說(shuō)明和預(yù)測(cè)，但此圖可以用作粗略指南，幫助您推斷應(yīng)達(dá)到的能力水平。

SOC能力矩陣

可能對(duì)攻擊量沒(méi)有任何真正的了解，但在這個(gè)階段，它并不那么重要，主要結(jié)果需要定義與組織相稱的能力級(jí)別，考慮到威脅概況中攻擊的潛在復(fù)雜性。

請(qǐng)記住，這是累積性的，因此如果認(rèn)為組織將成為高度復(fù)雜的對(duì)手的目標(biāo)，將需要確保 SOC 具有上述所有功能。在此示例中，為了支持威脅搜尋，需要確保擁有成熟的用例開(kāi)發(fā)能力等等。

本指南的檢測(cè)部分詳細(xì)介紹了這些功能實(shí)際包含的內(nèi)容。

SOC 支柱

設(shè)計(jì) SOC 操作模型時(shí)的一個(gè)有用方法是將其分為以下關(guān)鍵支柱。

通知 SOC – 可以在此處放置威脅情報(bào)等功能，其中輸出應(yīng)用作 SOC 功能的指導(dǎo)。在較小的 SOC 中，這可能只是第三方情報(bào)源。

開(kāi)發(fā)能力——在這里，可以獲取通知功能、SOC 需求或分析師想法的輸出，并將它們轉(zhuǎn)化為技術(shù)檢測(cè)能力。還可以將工程團(tuán)隊(duì)納入此處，以確保 SOC 能力得到維護(hù)和改進(jìn)。

檢測(cè)和響應(yīng)——這是大多數(shù) SOC 的基礎(chǔ)，當(dāng)檢測(cè)到異常、惡意或可疑的情況時(shí)，SOC 需要對(duì)其做出響應(yīng)。這是由事件響應(yīng)或事件管理等團(tuán)隊(duì)管理事件的地方。

支持 SOC – 根據(jù)組織規(guī)?；?SOC 范圍，可能需要支持功能。這是客戶關(guān)系管理或系統(tǒng)入門的所在地，通常會(huì)根據(jù)需要調(diào)用其他技術(shù)功能。

圖片

SOC 流量

如圖所示，通過(guò)建立這些鏈接，每個(gè)支柱都會(huì)相互影響，避免信息和知識(shí)孤島，從而使 SOC 成熟并應(yīng)對(duì)不斷變化的威脅形勢(shì)。

SOC功能

幫助了解運(yùn)營(yíng)模型設(shè)計(jì)中可能需要包含哪些功能；下面列出了最常見(jiàn)的核心 SOC 功能。請(qǐng)注意，這些流通中的函數(shù)可能有不同的名稱，并且某些函數(shù)可能會(huì)合并。

威脅情報(bào) (TI) – 該功能應(yīng)向 SOC 提供有關(guān)組織和 IT 資產(chǎn)當(dāng)前網(wǎng)絡(luò)威脅的信息。這通常包括妥協(xié)指標(biāo) (IOC) 和有關(guān)威脅行為者的定性信息。

威脅追蹤——該功能旨在對(duì)規(guī)避現(xiàn)有安全控制的網(wǎng)絡(luò)威脅進(jìn)行主動(dòng)、迭代和以人為中心的識(shí)別。

內(nèi)容開(kāi)發(fā)或分析– 該團(tuán)隊(duì)將可操作的威脅情報(bào)轉(zhuǎn)化為 SOC 工具中的程序化檢測(cè)規(guī)則。然后，這些信息又被用來(lái)識(shí)別系統(tǒng)和服務(wù)中的可疑行為。

工程– 該團(tuán)隊(duì)通常負(fù)責(zé) SOC 工具的維護(hù)、日志的技術(shù)安裝（有時(shí)稱為管道）并確保所有系統(tǒng)都在運(yùn)行。

事件響應(yīng)或處理——該團(tuán)隊(duì)通過(guò)調(diào)查事件的根本原因來(lái)響應(yīng)安全事件。他們的主要目標(biāo)是確定事件是否應(yīng)升級(jí)為安全事件。

事件管理 (IM)  – 當(dāng)事件被確認(rèn)為安全事件時(shí)，SOC 會(huì)將事件傳遞給其 IM 團(tuán)隊(duì)（可以是靜態(tài)團(tuán)隊(duì)，也可以是響應(yīng)的動(dòng)態(tài)團(tuán)隊(duì)）。該團(tuán)隊(duì)將承擔(dān)從通信到技術(shù)反應(yīng)的多種職責(zé)，所有這些都是為了減少影響并控制安全事件造成的損失

除了這些核心功能之外，一些組織可能會(huì)向 SOC 添加其他功能：

漏洞管理- 識(shí)別和管理資產(chǎn)內(nèi)漏洞所需的 SOC 將需要截然不同的資源（例如，用于測(cè)試、修補(bǔ)和評(píng)估系統(tǒng)構(gòu)建的專業(yè)知識(shí)和工具）。這將要求 SOC 與系統(tǒng)進(jìn)行更多的交互，這也意味著更大的責(zé)任。重要的是，在設(shè)計(jì)中捕獲此功能所需的額外資源。

內(nèi)部威脅- 與僅針對(duì)外部威脅的 SOC 相比，需要檢測(cè)和響應(yīng)內(nèi)部威脅的 SOC 也將具有不同的設(shè)置。它們并不相互排斥，但由于監(jiān)控員工是一個(gè)敏感主題，因此執(zhí)行此類任務(wù)的任何功能（特別是工具集）都應(yīng)該隔離。這是因?yàn)?SOC 及其員工以及其他業(yè)務(wù)系統(tǒng)和員工可能會(huì)受到安全監(jiān)控和調(diào)查，以應(yīng)對(duì)安全事件。

地點(diǎn)

大多數(shù) SOC 都會(huì)外包一些操作，即使這只是您的工具將用于檢測(cè)的簽名。

發(fā)展內(nèi)部職能有很多好處，包括更好的業(yè)務(wù)背景意識(shí)，這將有助于任何需要進(jìn)行的調(diào)查。

然而，從業(yè)務(wù)角度來(lái)看，如果很少使用某個(gè)功能，或者 SOC 根本沒(méi)有資源在內(nèi)部實(shí)現(xiàn)該功能，那么將其外包也可能是有效的。

在考慮外包 SOC 的哪些組件時(shí)，確定這樣做的利弊非常重要。下表旨在幫助您思考這些決定。

該表并非詳盡無(wú)遺。目的是展示決定哪些組件可以外包的過(guò)程。

資源

在嘗試實(shí)施運(yùn)營(yíng)模式時(shí)，找到合適的人選可能是最大的限制之一。

在這個(gè)領(lǐng)域，運(yùn)營(yíng)模式實(shí)際上是一個(gè)目標(biāo)。因?yàn)榭赡苄枰獣r(shí)間來(lái)找到合適的人員或培訓(xùn)現(xiàn)有員工來(lái)提供所需的服務(wù)。

通過(guò)定義威脅概況并了解 SOC 的范圍，應(yīng)該能夠評(píng)估交付威脅概況所需的資源數(shù)量。就像設(shè)計(jì)過(guò)程一樣，這可能需要多次迭代才能正確。

不可能準(zhǔn)確規(guī)定需要哪些人員或技能，但是，有一些關(guān)鍵考慮因素：

技能

SOC 分析師所需的具體技能將受到所采用的攻擊檢測(cè)方法的影響。

但是，應(yīng)該確保整個(gè)團(tuán)隊(duì)擁有交付決定的檢測(cè)方法所需的廣泛技術(shù)技能和經(jīng)驗(yàn)。

如果團(tuán)隊(duì)能夠理解攻擊者的心態(tài)，這將非常有用。了解攻擊者如何瞄準(zhǔn)并嘗試?yán)孟到y(tǒng)是檢測(cè)和響應(yīng)的基礎(chǔ)。

SOC 分析師

優(yōu)秀的分析師是有效 SOC 的核心，他們有能力適應(yīng)不斷變化的環(huán)境，邊學(xué)習(xí)邊研究攻擊者下一步可能會(huì)做什么。對(duì) SOC 工作人員的投資將會(huì)帶來(lái)回報(bào)。

分析師應(yīng)根據(jù)業(yè)務(wù)需求和當(dāng)前情況進(jìn)行指導(dǎo)。然而，您應(yīng)該警惕對(duì)分析師進(jìn)行分類和隔離任務(wù)。這通常會(huì)導(dǎo)致分診疲勞、工作滿意度差以及安全性差等問(wèn)題。

下圖類似于分析師如何參與檢測(cè)用例的開(kāi)發(fā)。從了解威脅情報(bào)中的威脅、在內(nèi)容開(kāi)發(fā)團(tuán)隊(duì)中開(kāi)發(fā)用例以及對(duì)事件處理中的任何事件進(jìn)行分類。接觸所有這些領(lǐng)域是非常有價(jià)值的。

圖片

分析師輪換

讓分析師參與并了解 SOC 生命周期通常會(huì)帶來(lái)更好的安全性。這是因?yàn)樗麄儗⒏嗟亟佑|系統(tǒng)、威脅情報(bào)、檢測(cè)、警報(bào)的背景，并鼓勵(lì)更大的協(xié)作和協(xié)同作用。這種經(jīng)驗(yàn)的拓寬不應(yīng)凌駕于任何學(xué)科專業(yè)之上，應(yīng)充分利用這些專業(yè)知識(shí)，但在可能的情況下，應(yīng)優(yōu)先考慮技能多樣化。

治理

應(yīng)考慮 SOC 在組織結(jié)構(gòu)中最適合的位置。確保報(bào)告關(guān)系和監(jiān)督適合正在執(zhí)行的工作非常重要。作為此過(guò)程的一部分，SOC 將需要確定正在報(bào)告哪些指標(biāo)。指標(biāo)可以隨著時(shí)間的推移而發(fā)展，以滿足組織不斷變化的需求。

管理 SOC 的運(yùn)營(yíng)需要強(qiáng)有力的治理，以確保 SOC 合法運(yùn)營(yíng)、遵守法規(guī)、組織政策并確保 SOC 權(quán)力不被誤用或?yàn)E用。SOC 無(wú)疑會(huì)面臨諸如“你能告訴我員工 x 一整天都在做什么嗎”之類的問(wèn)題，而回答該問(wèn)題可能不屬于安全運(yùn)營(yíng)中心的職權(quán)范圍。

定義該線的位置將取決于需求，但請(qǐng)注意，將資源從檢測(cè)安全事件轉(zhuǎn)移出去可能會(huì)對(duì) SOC 的整體功能產(chǎn)生不利影響。

SOC通?？梢灾贫ㄟ\(yùn)營(yíng)原則來(lái)確保其工作合法，例如：

• SOC將在法律、相關(guān)法規(guī)、組織政策等范圍內(nèi)運(yùn)作。
• 敏感數(shù)據(jù)只會(huì)被收集/搜索/索引，以檢測(cè)可能損害組織聲譽(yù)、繁榮和安全的惡意、可疑或?yàn)E用行為。
• 數(shù)據(jù)只會(huì)保留到不再需要為止或最多 x 個(gè)月。

進(jìn)一步的考慮

此時(shí)，SOC 設(shè)計(jì)的各個(gè)部分應(yīng)該結(jié)合在一起，但當(dāng)然還有進(jìn)一步的考慮。

持續(xù)改進(jìn)

持續(xù)改進(jìn)對(duì)于 SOC 的成功至關(guān)重要，因?yàn)樗鼈兯幍沫h(huán)境和面臨的對(duì)手都在不斷變化。

這些挑戰(zhàn)分為三大類：

• 不斷變化的環(huán)境——組織很可能會(huì)不斷發(fā)展，業(yè)務(wù)可能會(huì)發(fā)生變化，對(duì)攻擊者更具吸引力。試圖保護(hù)的資產(chǎn)可能會(huì)發(fā)生變化，從而導(dǎo)致監(jiān)控能力出現(xiàn)缺口。如果將審核周期納入 SOC 流程中，應(yīng)該能夠掌握這一點(diǎn)。
• 不斷變化的威脅形勢(shì)——攻擊者不斷更新他們的方法，動(dòng)機(jī)可能會(huì)改變。這就是威脅情報(bào)發(fā)揮作用的地方。
• 保持檢測(cè)有效性- 所有檢測(cè)方法都需要 SOC 來(lái)構(gòu)建和維護(hù)其檢測(cè)方法，以保持有效。這包括構(gòu)建新的安全警報(bào)邏輯并投資于分析師的持續(xù)發(fā)展。

營(yíng)業(yè)時(shí)間

雖然網(wǎng)絡(luò)攻擊可能發(fā)生在一天中的任何時(shí)間，但在決定需要運(yùn)行的時(shí)間時(shí)，需要考慮一些重要的因素。例如，維護(hù) 24/7 的 SOC 將比 9-5 且非工作時(shí)間待命的操作需要更多的員工。雖然 24/7 提供全天候監(jiān)控，并且可能適合高威脅場(chǎng)景，但 9-5 操作仍然比根本沒(méi)有 SOC 提供多 100% 的監(jiān)控。

• 其他 IT 職能部門的工作時(shí)間是多少？ 大多數(shù)重大事件都需要其他 IT 職能部門參與響應(yīng)。考慮這些團(tuán)隊(duì)的工作時(shí)間。如果其他 IT 功能僅朝九晚五地覆蓋且沒(méi)有值班安排，則 24/7 SOC 的效率將大大降低。
• 組織是否已經(jīng)擁有可以接收高優(yōu)先級(jí)安全警報(bào)的 24/7 IT 職能？有些組織已經(jīng)由另一個(gè) IT 團(tuán)隊(duì)（例如數(shù)據(jù)中心運(yùn)營(yíng)團(tuán)隊(duì)）執(zhí)行 24/7 全天候覆蓋?？紤]將高優(yōu)先級(jí)的非工作時(shí)間安全警報(bào)發(fā)送給該團(tuán)隊(duì)進(jìn)行初步分類，然后再升級(jí)給 SOC 分析師。
• 考慮向非工作時(shí)間待命的SOC分析師發(fā)送高優(yōu)先級(jí)警報(bào)。 或者，如果確定需要立即響應(yīng)潛在事件的能力，請(qǐng)考慮使用警報(bào)自動(dòng)通知待命的 SOC 分析師。

SOC安全

保證SOC內(nèi)的數(shù)據(jù)和服務(wù)的安全至關(guān)重要，因?yàn)镾OC收集的信息可能被認(rèn)為非常敏感，因此對(duì)于威脅行為者而言將成為有吸引力的目標(biāo)。這些信息可能包括有關(guān)組織的敏感信息、個(gè)人身份信息 (PII)、財(cái)務(wù)數(shù)據(jù)，甚至是在 IT 資產(chǎn)中實(shí)施的安全控制的詳細(xì)信息。

此外，如果惡意行為者能夠訪問(wèn)這些信息，他們就可以通過(guò)訪問(wèn)或修改這些信息來(lái)隱藏他們的蹤跡，增強(qiáng)他們的攻擊，甚至逃避任何事件后的清理操作。

SOC 安全性的一些關(guān)鍵考慮因素包括：

• 敏感數(shù)據(jù)- 這是一個(gè)難以控制的方面，尤其是在需要保護(hù)大量客戶和系統(tǒng)的SOC中。重要的是，SOC必須在其法律和監(jiān)管要求范圍內(nèi)運(yùn)作，并確保采取適當(dāng)?shù)目刂拼胧﹣?lái)執(zhí)行這一要求。這可以是數(shù)據(jù)攝取的驗(yàn)證或檢測(cè)敏感數(shù)據(jù)的警報(bào)。
• 隔離- 應(yīng)該隔離SOC服務(wù)，這樣，如果您的 IT 資產(chǎn)的某個(gè)組件受到損害，攻擊者將無(wú)法直接訪問(wèn)SOC數(shù)據(jù)。
• 職責(zé)分離- 擁有高權(quán)限管理員賬戶的用戶可能會(huì)在組織內(nèi)執(zhí)行惡意活動(dòng)。因此，SOC服務(wù)應(yīng)駐留在單獨(dú)的安全域中。這意味著將檢測(cè)到利用管理員賬戶的任何潛在攻擊，并且威脅行為者將無(wú)法影響審計(jì)跟蹤。
• 審計(jì)- SOC服務(wù)的用戶（SOC工作人員）必須承擔(dān)責(zé)任，這一點(diǎn)很重要。這可以通過(guò)創(chuàng)建可以報(bào)告SOC操作并發(fā)出警報(bào)的特權(quán)賬戶和功能來(lái)完成。根據(jù)良好的安全實(shí)踐，這應(yīng)該遵循最小特權(quán)原則，并且對(duì)此的訪問(wèn)應(yīng)該受到極大的限制。