一般SOC的核心是SIEM,SIEM一般本身就是做日志管理的。
GARTNER第一象限几款产品内部就支持的,这个也是大趋势,只是威胁情报服务比较依赖于地域,个人用下来感觉国内几款至少在IP层面上准确度有待提高。
参考http://www.talkwithtrend.com/Question/408489 想了解方案的话,可以看看Gartner魔力象限,最近几年都有的。http://www.freebuf.com/articles/security-management/118376.html
等级保护中好像和SIEM有直接关系的就是“日志应保存至专用的日志服务器”,主要的目的我认为偏向于审计而不是风险的及时发现。如果仅仅为了合规的目的,那如描述的建立一个日志管理系统就可以了。如果企业需要以风险为中
在关于回答“资产收集和更新如何快速有效的实施?”中我大致介绍了我认为的SOC和资产收集的关系。如果SOC的主要目的是发现威胁的话,我认为比较重要的资产属性包括IP,主机名,所有人,所属应用,位置,操作系统版本等。有了这些信
问题比较大,首先要想清楚安全团队对于企业业务的价值。如果主要是为了应对合规的话,那就要看合规要求中有没有对这块的强制要求了,如果有的话,去做显然对业务是有帮助的。不过目前绝大多数做这块的还是从风险角度出发的。
如果仅仅是指日志监控的话,那可以接入WAF的日志和APP应用日志来监控外部攻击的威胁。如果指更广义的话,那还需要包含APP的安全测试,代码扫描,漏洞管理,和应急响应。
安全项目要进行传统的成本收益的分析都是很难的。安全要控制的是风险,风险本身就很难得去定量分析。管理层无非是想了解到有什么好处,需要花费什么。收益的话,第一需要解释清楚你的规划能做到什么。(比如,提高安全可视化,逐
题外话,其实这个问题还有可以反过来问“如何确保网络架构的变化不会影响部署架构”。个人认为尽可能降低对其他团队的依赖。比如有很多防火墙能提供IPS功能,但是这些防火墙往往是基础架构管理的,而IPS有是纯粹安全的东西
我没有经历过这种情况,不过如果我碰到这种情况可能会先思考这样几个问题:1. 法律的限制主要在跨境数据流动上。要明确日志中是否存在有法律明确限制流动或者有潜在限制风险的的数据。2. 咨询一下提供全球业务的SOC厂商
关于TWT使用指南社区专家合作厂商入驻社区企业招聘投诉建议版权与免责声明联系我们 © 2024 talkwithtrend — talk with trend,talk with technologist京ICP备09031017号-30