梳理资产和理解业务,这是能够发挥SOC价值的必经之路,SOC规则大致可以分为两块:1、对于基于系统漏洞(CVE)攻击的告警规则(主要依靠厂商内置规则);2、基于业务规则的告警规则设置。SOC平台的运营主要是围绕后面开展的。至于你说的不要增加太多的额外工作和业务无感知。额外工作就是...
显示全部梳理资产和理解业务,这是能够发挥SOC价值的必经之路,SOC规则大致可以分为两块:1、对于基于系统漏洞(CVE)攻击的告警规则(主要依靠厂商内置规则);2、基于业务规则的告警规则设置。
SOC平台的运营主要是围绕后面开展的。
至于你说的不要增加太多的额外工作和业务无感知。
额外工作就是梳理资产和理解业务,这块不做,大量的无效告警足以淹没你。
业务无感知,SOC平台多数情况下是"看“,不去防守的,至于需要业务配合的主要是信息采集的方式以及采集的数据是否影响业务活动之类的。
收起