1.安全运营中心(SOC)的定义
安全运营中心提供集中和综合的网络安全事件预防、检测和响应能力。
SOC is first a TEAM. Next a PROCESS. And it uses TECHNOLOGY too.
SOC首先是一个团队,其次是一个过程,而且它也使用技术。
2.现代安全运营中心(SOC)
- Teams are organized by skill, not rigid level。按技能组织团队,而不是严格的级别。
- Process structures around threats,not alerts。围绕威胁而非告警的流程结构。
- Threat hunting covers cases where alerts never appear。Threat hunting涵盖了永不出现告警的情况。
- Multiple visibility approaches,not just logs。多种可见性方法,而不仅仅是日志。
- Automation via SOAR works as a force multiplier。通过SOAR实现的自动化是一种力量倍增器。
- Deeper testing and coverage analysis。更深入的测试和覆盖率分析。
- Threat intelligence is consumed and created。威胁情报的消费和创建。
- SOC elegantly uses third party services。SOC优雅地使用第三方服务。
3.NOT现代安全运营中心(SOC)
4.现代安全运营中心(SOC)的特点一: 人(PEOPLE)
5.现代安全运营中心(SOC)的特点二: 检测工程(DETECTION ENGINEERING)
6.现代安全运营中心(SOC)的特点三: 工具(TOOLS)
7.现代安全运营中心(SOC)的特点四: 混合(hybrid)
8.未来的安全运营中心(SOC)悖论
往期精选
围观
热文
热文
本文始发于微信公众号(天御攻防实验室):现代安全运营中心(SOC)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论