登錄系統(tǒng)和日志源

登錄培訓(xùn)是 SOC 運(yùn)營的關(guān)鍵部分，尤其是對于新 SOC 而言，對于已建立的 SOC 而言也是如此；沒有任何 IT 資產(chǎn)會永遠(yuǎn)保持不變。

登錄是將系統(tǒng)添加到 SOC 范圍的過程的名稱。這意味著確保來自這些系統(tǒng)的日志由 SOC 系統(tǒng)收集或發(fā)送到 SOC 系統(tǒng)，以便可以對其進(jìn)行監(jiān)控。

登錄培訓(xùn)是 SOC 運(yùn)營的關(guān)鍵部分，尤其是對于新 SOC 而言，對于已建立的 SOC 而言也是如此。這是因?yàn)闆]有任何 IT 資產(chǎn)會永遠(yuǎn)保持不變。

執(zhí)行加入的方法有多種，從加入常見日志源、使用風(fēng)險評估的輸出或僅僅加入絕對每個可用的日志源。

威脅建模也可用于支持加入，我們將在這里詳細(xì)討論這一點(diǎn)，因?yàn)槲覀儗⒚枋鲆酝{為主導(dǎo)的加入系統(tǒng)并將源記錄到 SOC 中的方法。

這樣做的目的是讓您能夠確定哪些日志源最適合您的組織并且應(yīng)該加入。

日志來源

確定日志源，這些日志源將為您提供在執(zhí)行安全監(jiān)控時有用的信息。

威脅建模

筆記：

同樣重要的是要記住，這種方法不會立即突出整個系統(tǒng)中風(fēng)險的出現(xiàn)。這只是將適當(dāng)?shù)娜罩驹匆隨OC 系統(tǒng)，此時可以考慮系統(tǒng)范圍的風(fēng)險。有關(guān)識別系統(tǒng)范圍風(fēng)險的更多信息，請參閱后期更新的檢測。

需要注意的是，執(zhí)行威脅建模的方法有很多種，這只是有關(guān)如何開始組件級分析的指南。它大致遵循攻擊樹方法，但重點(diǎn)是識別最有價值的日志源和適當(dāng)?shù)臋z測用例。