该问题还可以细分为:
金融企业中驱动企业部署SIEM或者SOC的动力是什么?
企业中哪些安全日志信息规范性和重要性最强?
针对这些安全日志可以设计的威胁用例场景有哪些?
如何确认这些场景,如何集成到现有流程,并产生真实价值?
我的浅见:
SIEM甚至SOC是企业从被动防御到主动防御逼走的道路。只有主动的发现风险才能更有效更及时得防护企业资产。风险本身是个虚的概念,目前技术下能最有效得落实到具体的对象的主要是安全设备的日志和关键区域网络流量。
我认为AD和防病毒日志应该是最先应该被引入到SIEM中的日志,AD日志能反映出账户的行为及信息,防病毒日志能反映出主机的安全情况。这两种日志对于判断风险的准确性很高,并且都能结合到具体的人。(只有结合到人了才能快速落实响应流程)
好的威胁用例背后应该包含了大量的针对特定企业场景下的预定义的知识,比如对关键账户(系统管理员,高管等)尝试多次失败登录后有成功登陆的告警就来得比一般的账户要重要性高。
我的看法是,在设计出威胁用例发现准确性和重要性都最高的告警后,才最有可能和现有IT管理流程整合,得到别人的重视和反馈非常重要。
收起