安全运营中心(SOC)概念也推出了很多年,国内也有很多厂商致力于这一块的建设,互联网上也有很多对于这一块的资料,这里就不进行赘述,不过还是需要提一下什么是安全运营中心?
安全运营中心(SOC)的功能是全天候监控、预防、检测、调查和响应网络威胁。
https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-soc/
之所以为什么会有这个文章,其实因为某一天突然有自己想要搭建一套安全系统用于安全运营使用,如果可以使用开源平台搭建一套安全运营中心应该也是很酷的事情,但由于没有梳理出很好的思路,直到这几天看到一个视频给了点指导,于是就有了这篇文章,就是这个系列的开头。
先声明该系列文章只是阐述的只是个人想法以及一些理论实践,并不一定完全正确。欢迎大家追踪该系列,一起学习。
先看一个问题,怎么构建一个基础的SOC平台或者说基础的SOC平台应该具备哪些条件?
正如安全运营中心的定义所描述的,安全运营中心主要的作用就是监控、检测、响应。可以通过上述几个方面进行思考。
监控即代表健康检查,在监控方面SOC应该具备以下几个特征
1-收集端点资源占用详情
2-监控服务或者相关业务进程健康状态
检测主要分为日志收集以及日志分析,其中日志收集方面SOC应该具备以下几个特征
1-可以收集终端设备,网络设备以及第三方设备的原生日志(未经过处理的)
2-将收集到的日志进行进行日志字段标准化,以方便后续更快的建立索引以及可视化,比如说不同设备传过来的的sourceip以及source_ip字段应该统一记录成src_ip字段
3-具备数据备份缓解因为存储出现问题导致丢失日志
其中日志分析方面SOC应该具备以下几个特征
1-可以分析收集上来的所有相关日志,并且通过日志分析并且产生相关告警,比如说当看到powershell命令执行需要触发相关等级的告警表明这是一个可疑行为需要引起关注
2-支持自定义规则能力
3-支持数据富化,将收集到的日志通过多来源的威胁情报进行富化,通常我们从日志中提取到外网IP或者外网域名需要手动进行检查,需要将该繁琐的步骤进行自动化
4-丢弃不必要的告警,避免产生告警噪音以及不必要的存储空间浪费
响应方面SOC应该具备以下几个特征
1-拥有SOAR
2-允许自定义工作流进行事件响应
3-隔离主机等响应措施
4-远程收集端点信息
另外再提一点,SOC平台一定要求可视化,可视化方面SOC应该具备以下几个特征
1-具备快速检索能力
2-支持从多个数据源读取数据
3-支持通过小组件、仪表盘等展示日志
通过上述的梳理可以发现,达成上述几点即可以拥有一个基础的SOC平台。
由于一个基础的SOC平台涵盖的东西也不少,所以新开一个系列更新,欢迎大家订阅及时获得第一时间更新。
由于开源软件针对SOC平台各有所长,预计将采用多个平台/软件进行构建安全运营中心。我们需要用到Wazuh+Graylog+Grafana+TheHive等等工具进行实践。
大致的安全运营中心逻辑为下图所示:主要通过日志处理、日志富化、可视化以及事件响应、存储等几大方面构成,,以及最后的SOAR以及监控组成基础的SOC平台。日志收集通过Wazuh实现、日志规范通过Graylog处理、可视化通过Grafana展示、事件响应通过TheHive+开源情报+velocitraptor实现,存储通过Wazuh索引器。
欢迎订阅获取第一时间更新,下一期走进Wazuh索引器,看Wazuh如何为SOC平台提供存储支撑。