甲方群话题讨论 | 聊聊企业SoC平台建设

当前,安全管理平台(SoC)已成为企业提高信息安全水平的主要工具,但往往安全并不是靠某个工具就能解决,对平台赋能,给予必要的支撑十分重要,诸如态势感知,已成为支撑SoC建设的重要核心点,甚至将二者混为一谈,那么在具体建设过程中,该如何理清SoC相关服务产品间的关系及组织性,彼此该如何配合,以发挥最大效率,本期话题就围绕企业SoC平台建设相关问题展开讨论。

  1. 买了态势感知、某EYE等服务,建设SoC是把这类告警再给SoC一次么?这样的体验真的好吗?
  2. 建SoC前没买过态势感知类的产品,是不是只需要建SoC就可以了?
  3. 如果建SoC,需要买全流量存储设备吗?

FreeBuf - 甲方群话题讨论 | 聊聊企业SoC平台建设 - 图1
本文所有ID已做匿名处理

买了态势感知、某EYE等服务,建设SoC是把这类告警再给SoC一次么?这样的体验真的好吗?

@乌冬面

SoC不只是接收单一告警,而是要上下文关联,更精确告警。

@宫保鸡丁

首先,什么是态势感知,什么是SoC。见过不少防火墙、杀毒之类的产品,也加了个“态势感知”的菜单,点进去最多算个看板。

@番茄炒蛋

主要还是看态势感知和SoC的定位,如果态势主要是展示大屏用,那么吐告警给SoC,结合其他日志做上下文关联分析,以及联动其他模块(比如SOAR)是有意义的。

@鱼香肉丝

某EYE属于威胁感知吧,主要通过镜像流量接入。SoC应该把安全设备告警信息或主机、办公网、VPN、日志统一汇总到一个平台进行关联分析,对安全事件进行响应。个人理解区别。

@夫妻肺片

理想化的当然是接入,但是实际情况是SoC一次性处理不了那么大的日志量。

@温泉蛋

这里我先理解态势感知就是一些安全设备、平台,然后SoC是安全运营中心,算是个组织吧。我们有采购态势感知相关设备,本身投资比较大,还没有买齐全,目前是底层的一些探针服务器 、日志审计之类的,目的其实建立SoC的管理平台,态势感知把所有安全设备的日志能接入,体验好一点的就是不用每台安全设备上去巡检安全日志,一个个统计分析,能减轻些巡检分析的工作量。 不过说实话,如果只是为了把日志都接入SoC平台方便查询统计分析,而没有做安全联动以及更深化的网络安全管理提升工作,那SoC发挥的作用还有待提高,同样,自有的安全设备是否充分用好了也是值得考量的。

@水煮肉片

态势感知建议考虑全家桶,就是硬件+软件,不然没专业团队处理日志,出不了效果,纯粹展示用。 各家安全设备的日志、格式、告警类型,完全都不一样,日至底层的格式处理就是一个大麻烦,但这个不处理好,又没办法做事件关联。还有日志接入也是一个麻烦的事情,安全设备、网络设备和主机,这需要考虑一个接入的比例。所以大型企业可以考虑去做这个事情,如果资金和规模不大,搞一个全家桶,简单方便,重要是成本低。

@甜皮鸭

需要思考下,态势感知的目的到底是什么。 最开始的态势感知,就是全流量,不过它只是SoC的输入。 最开始,厂商对于SoC的定义,都是SIEM,现在才扩大化,融入了SOAR的概念。现在安全运营中心,我个人浅显的理解是以SoC为基础,注入全流量、威胁情报、SIEM为数据源,融入SOAR的概念,对于事件创建剧本,拉通各个安全防护设备进行处置,不过这个里面不止需要人,还需要自动处置的权利。 回归这道题,我个人感觉,目前甲方已经过了单纯买厂商态势感知的阶段了,之前在等保2.0之前,很多客户还是考虑厂商态势感知通过三级等保。但是通过几年的使用和等保2.0的施行,之前的态势感知更多是HVV期间用来溯源的,而且厂商的态感可以联动的只是自己的产品,上全家桶也不符合异构的理念,也不是安全防护的最优解。因此,变成了通过SoC来进行联动,需要很多定制化的内容,不可能是开箱即用了。

建SoC前没买过态势感知类的产品,是不是只需要建SoC就可以了?

@番茄炒蛋

就了解的SoC功能来看,应该没有必要再单独买态势感知内产品,SoC都是可以扩展的,省去了选型和多厂家沟通的成本。 态势感知就是各类安全数据的统计、分析、预测和展示(目前大多数做不到预测),SoC是一个安全多功能集成平台,可以包括态势感知的功能,还有其他的比如资产管理、设备联动(比如漏扫)、流程集成、自动化处理等。

@回锅肉

态势感知的根本是什么?什么是态势,什么是感知?其实很多单位都没有搞清楚,这个其实很多单位还在针对具体安全问题,能力没有建设完成是用不上的,但是看别人有,也跟着上。

@椒盐排条

态势感知本身就是聚合安全信息的平台,各种安全设备联动信息和流量分析探针的聚会点,作为安全集中平台也够用了。 再有SoC本身是锦上添花,或许SoC对信息资产有比较好的支持管理,同步过去比较方便按照资产去做管理。态感本身不支持日志产品的信息同步收集,SoC可以在上层做大平台集约。

@温泉蛋

态势感知与SoC虽然不能直接画等号,但也是密切相关的,态势感知通常来说应该是一系列安全设备、产品构成,SoC固然要包括这些,但是还有对应安全运营能力建设,组织团队、岗位人员等等。

如果建SoC,需要买全流量存储设备吗?

@番茄炒蛋

需要,主要用来确认告警和溯源。不止存储设备,全流量安全分析也是SoC重要数据来源之一,安全分析和存储如果一套设备能满足就再好不过了。

@红烧鱼

是的,全流量对于问题追溯比较重要。

@番茄炒蛋

是,溯源是主要作用,但是全流量很费硬盘,一般企业存不了多久。