SOC或者说SIEM十年前就提出来了,但从过去走过的路来看,不能说是成功的。如何切实结合企业的痛点来建设soc平台?如何分别从管理者和安全专业人士的视角来定义soc的期望值?要脚踏实地,又要一定的前瞻性?soc事件分析的维度十分重要,是门艺术,是门技术,如何把控选择维度的度?
个人觉得缩小范围放低预期从威胁的根本去思考SIEM的价值,有效利用现有资源做出实际的案例,帮助企业及时发现威胁和漏洞,逐步在企业中建立其重要度是一条比较可行的道路。简单说,我觉得SOC和SIEM这种就像是内功,而一般的安全设备就像是招术。WAF或者防病毒部署的见效都会比较快,表现可以在短时间内就体现出来。而SIEM侧重于监控和分析,部署优化周期长,又需要有经验的人持续运营。因此,放低姿态,调整预期是很重要的基础。其次,可以通过不但结合其他安全设备来提高SIEM的知名度和价值。用事实来告诉别人SIEM的加成作用。
SIEM中肯定会碰到海量告警的问题,除了通过一些技术和流程来控制优化之外,时机成熟的话,也可以考虑尝试性得使用大数据分析和机器分析等新方法。个人比较看好这个方向。
我觉得做安全运维,在坚持原则之外,还需要懂得权衡。SOC平台能持续运维下去依赖于是否能稳定得提供有价值安全分析结果,在威胁用例的建设过程中会求全(希望尽可能涵盖公司主要威胁),但是在具体的告警处理和分析上要求精(宁缺勿滥),尽量少报告错误的或者协同团队无法处理的情况。在确立管理层,公司业务部门,也其他协同团队的信任之后,才有可能进一步得发展。