回复“河南等保0726”获取“《网络安全知识体系》之对抗性行为”PDF版整章内容

---

《网络安全知识体系》

安全运营和事件管理（二）：

工作流和词汇

---

1 基本概念

SOIM域假定MAPE-K循环的工作流是在部署在ICT基础设施中的技术组件中实现的。第1.1节在SOIM领域建立了一些基本的词汇参考，第1.2节描述了这些概念在通用ICT基础设施中的部署。

11.工作流和词汇

图1使通用MAPE-K循环适应SOIM。除了保护和监测ICT系统以检测攻击之外，还有两个主要参与者影响着环路的演变;整个互联网和ICT系统提供服务的监管环境。互联网既是服务请求和威胁的来源，也是有关这些威胁的情报的来源。监管机构（如国家机构和行业机构）提供额外的威胁和检测信息，并要求信息共享。

图1：MAPE-K自主计算回路实例化到SOIM中

图1说明了执行SOIM工作流程的组件的位置，使用三个部分循环。最里面的一个，入侵检测系统（IDS），是最早的工作主题，包括监测和检测。第二个，安全信息和事件管理（SIEM）平台，扩展了检测，并开始涵盖响应计划和执行。最近，安全协调、自动化和反应 (SOAR)平台推动了进一步的分析和响应，使得对网络威胁的响应更加先进和全球化。多年来，SOIM中使用的知识库逐渐扩大，因为更多的情报已经成为检测和缓解攻击的必要条件。知识和事件之间的关键区别是时间。事件是产生和消耗的，而知识是更稳定的。

监控活动基本上是由IDSes覆盖的。监测范围内包括的各种数据源将在第2节中描述。分析活动也被IDS所涵盖，目的是确定所获得的一些信息是否构成潜在攻击的证据。从1990年到2000年，许多研究项目开发了先进的入侵检测系统原型。结果，第一个基于网络的IDS在1996年被商业化，实现了MAPE-K循环的第一部分的自动化。

然而，第3节说明，与实时事件处理和有限的覆盖范围有关的限制需要额外的工具。这就是第二环的目标，SIEM平台。

技术已经发展到一个地步，IDS已经转变为入侵预防系统（IDPS）。这将在第5.1节中进一步阐述。本 KA 的文本将使用IDPS，除了在概念上侧重于检测时，IDS仍将保留。

计划活动本质上是SIEM平台的范畴。这些IDS传感器的部署产生了管理操作上大量警报的需要，这导致了这些SIEM平台的发展。它们既提供额外的分析，也提供应对攻击的初步计划。这些大规模、复杂和昂贵的平台现在被整合到安全操作中心（SOC），提供技术和人力资源。我们现在正在部署这些SIEM平台的第二代，以适应越来越大的不同数据量，并提供额外的处理能力。

执行活动开始在SIEM平台中主要通过手动流程实施。安全协调器或专门的组件现在能够实现对ICT基础设施反馈的部分自动化，尽管这一活动不如其他活动成熟。

前三项（监测、分析、计划）活动现在已经完全或部分自动化。自动化对于处理现代ICT系统所产生的大量事件数据是绝对必要的。

ICT系统产生的大量事件数据，以及描述与网络攻击有关的庞大知识体系。它们都依赖于一个庞大的知识体系，例如，涵盖了被监控系统的配置，或多种类型和形式的检测签名。新的趋势也在出现，例如，网络威胁情报（CTI）（6.3节），以更好地理解和防御网络攻击。这就是安全协调、自动化和响应（SOAR）的主题，其目的是支持对威胁做出更好的反应，以及更多的全球信息交流。SOAR的缩写描述了一套越来越需要的功能，扩展了SOIM对风险和事件管理的覆盖。

原文始发于微信公众号（河南等级保护测评）：网络安全运营和事件管理（二）：工作流和词汇