LogRhythm - 建立安全运营中心 (SoC) 的 7 个步骤

大多数组织都没有配备 24X7 SoC 的人员

不幸的是,WannaCry 和 Petya/NotPetya 等网络攻击正日益成为常态。当您的企业缺乏内部安全资源和人员时,跟上网络安全威胁的增长速度似乎是不可能的——因此,构建自动化的安全运营中心通常是理想的解决方案。
虽然大多数公司并非完全缺乏网络安全框架的开发,但许多组织报告说他们没有配备和/或负担不起配备 24×7 内部安全运营中心 (SoC) 的人员。
这是什么意思?如果您没有正常运行的 SoC,您的组织可能会面临严重延迟检测和响应事件的风险。威胁或异常事件可能不受监控,您的企业成为网络攻击受害者的风险要大得多。没有 SoC 的其他后果包括:

  • 您的企业没有得到全天候的持续监控。
  • 对事件的响应存在重大延误。
  • 潜在的破坏性安全事件可能完全被忽视。
  • 由于繁重的工作量和大量的手工工作,工作满意度很低。

这些痛点是否听起来很熟悉?虽然这些是共同的挑战,但它们是不可持续的。对于陷入设计正式 SoC 的高昂成本和对非正式 SoC 的完全不充分保护之间的组织,有一个解决方案:建立一个安全运营中心,尽可能多地自动化工作,以便您的熟练员工可以专注于最重要的事情.

什么是安全运营中心?

安全运营中心是组织内部 IT 和网络安全团队参与威胁检测、分析和响应的中心“枢纽”。智能 SoC 使安全团队能够:

  • 构建自适应 SIEM 架构
  • 利用高级安全分析
  • 探索集成威胁情报
  • 自动化事件响应
  • 调查和可视化威胁和解决方案

    如何在没有内部人员的情况下构建 SoC 以快速检测和响应威胁

    在 LogRhythm CISO 和 LogRhythm Labs 副总裁 James Carder 的帮助下,我们概述了如何构建一个旨在满足您业务独特需求的 SoC。Carder 先生只需七个步骤,就可以利用他 20 多年的安全和 SoC 实施经验来汇编和分享他在构建合适大小的 SoC 时所学到的知识。
    下面的 SlideShare 提供了为您的业务构建正确 SoC 的深入指南,以及在此过程中的注意事项。但是,我们总结了以下七个步骤来设计和构建安全运营中心:

    构建 SoC 的七个步骤

    当您探索如何构建 SoC 的过程时,您将学会:
  1. 制定您的安全运营中心战略
  2. 设计您的 SoC 解决方案
  3. 创建流程、程序和培训
  4. 准备你的环境
  5. 实施您的解决方案
  6. 部署端到端用例
  7. 维护和发展您的解决方案

在此处探索完整的 SlideShare
SoC 实施可能很昂贵,而且其成本可能难以证明。但是,您需要能够领先网络安全威胁一步的唯一有效方法是使用强大的安全自动化架构。即使资源有限,构建 SoC 也能解决您的安全问题。

为什么构建和实施 SoC 如此重要

除了普遍增加的网络安全攻击及其后果的脆弱性之外,没有有效的安全运营中心工作流程可能会导致几乎不可能有效地降低风险和实施解决方案。

如何在资源有限的情况下打造安全运营中心

构建 SoC 是一项巨大的工作,通常会导致管理层因实施而犹豫不决。确保任何 SoC 投资物有所值的最佳方法是与 LogRhythm 等 SIEM 合作伙伴合作。要提供有关如何构建 SoC 和预算的更多指导,请查看我们的免费白皮书下载,如何使用有限资源构建 SoC。(要商业邮箱注册才给下,不下了)
在本 SoC 白皮书中,我们概述了在预算内构建 SoC 的其他方面。您将学习:

  • 如何融合人员、流程和技术以创建高效和高效的 SoC——即使资源有限
  • 什么使 SoC 有效
  • 估算 SoC 成本和节省
  • 各种 SoC 人员配备模型的成本比较
  • 使用有限资源构建 SoC 的步骤

    利用有限资源构建SoC的7个步骤

    利用有限资源构建SoC的7个步骤快速检测和响应威胁(即使您无法配备24x7全天候SoC)
    人员不足的安全运营中心的状态大多数组织都没有资源来为全天候安全运营中心(SoC)配备人员。结果呢?未对事件进行全天候监控事件检测和响应严重延迟无法主动寻找威胁这是一种危险的情况:
    7-steps-to-build-a-soc-with-limited-resources-2-638.jpg
    但是有一个解决方案,它具有为扩展而构建的自动化SoC,您的团队可以:快速检测威胁:您的团队可以执行持续的事件监控。快速应对威胁。您的团队可以加快事件响应。利用您所拥有的资源构建高效、自动化的SoC就是要结合人员、流程和技术来实现您的目标。
    7-steps-to-build-a-soc-with-limited-resources-3-638.jpg
    学习构建SoC,有效利用威胁生命周期管理来快速检测和响应威胁。利用有限资源构建SoC的7个步骤:
    7-steps-to-build-a-soc-with-limited-resources-4-638.jpg

    第一步

    制定战略制定战略的关键是了解组织的现状。
    评估您的现有能力
    首先,将您的范围限制在核心功能上:监控检测响应恢复
    延迟非核心功能,直到您的核心功能足够成熟
    确定并定义业务目标
    7-steps-to-build-a-soc-with-limited-resources-6-638.jpg

    第二步

    设计解决方案是良好的起点。
    选择几个业务关键型使用案例(例如网络钓鱼攻击)
    根据这些使用案例定义您的初始解决方案
    认为您的解决方案必须能够满足未来需求缩小范围将缩短初始实施时间,这将有助于您更快取得成效:
    7-steps-to-build-a-soc-with-limited-resources-7-638.jpg
    采取三项行动:
  1. 定义你的功能需求。(确保这些与业务目标相关联。)
  2. 根据您的功能需求选择SoC型号。
  3. 设计您的技术架构。
    1. 选择您的威胁生命周期管理平台
    2. 确定要集成的业务和信息系统
    3. 定义您的工作流
    4. 确定自动化领域
    5. 测试架构

7-steps-to-build-a-soc-with-limited-resources-7-638.jpg

第三步

清理报告审查调整分析威胁以确定事件的性质和程度实施对策以减轻威胁和相关风险安全事件数据日志和机器数据取证传感器数据搜索分析机器分析评估威胁以确定风险以及是否有必要进行全面调查创建流程、程序和培训在步骤3中,务必确保涵盖威胁生命周期管理框架的所有六个阶段。检测时间响应时间收集数据调查定性发现恢复压制:
7-steps-to-build-a-soc-with-limited-resources-11-638.jpg

第四步

在部署前准备好您的环境,确保重要的安全元素到位:

  1. 确保SoC员工的台式机、笔记本电脑和移动设备安全
    1. 为SoC员工(和外包商,如果适用)建立安全的远程访问机制
  2. 要求强身份认证:

7-steps-to-build-a-soc-with-limited-resources-13-638.jpg

第五步

实施您的解决方案充分利用您的技术来最大限度地减少员工的工作量:

  1. 启动您的日志管理基础设施。
  2. 装载您最少的关键数据源集合。
  3. 发挥您的信息安全智能分析能力。
  4. 板载您的安全自动化和流程编排功能。
  5. 开始部署用例,重点关注端到端威胁检测和响应实现:

1.jpg
实现无缝互操作性系统互操作性对于您的团队来说至关重要,它可以从源中收集数据,并发布操作和命令来应用上下文、控制和修复,使之与您的工作流保持一致。您还应该整合威胁情报馈送和自动化输入,以提高SoC检测的准确性:
1.jpg

第六步

部署端到端使用案例您的技术已经到位,您的能力已经部署。现在是有趣的部分:

  1. 跨分析层、安全自动化层和编制层实现用例
  2. 在各种轮班和换班期间严格测试你的用例
  3. 证明了您解决方案的可靠性和安全性

1.jpg

第七步

维护和改进您的解决方案SoC不是打开就可以停止思考的东西。它需要持续维护,例如:

  1. 调整以提高检测精度
  2. 添加其他系统作为输入或输出
  3. 审查SoC模型、SoC角色、员工数量

1.jpg
构建高效SoC的7个步骤如果您的组织无法证明24x7 SoC的巨额费用是合理的,那么有一个解决方案。要深入了解如何构建SoC并进行预算,请下载《如何利用有限资源构建SoC》白皮书。立即下载
1.jpg