安全操作中心(SOC)

Question

我正在寻找资源和建立一个SoC(安全操作中心)或nNoC(网络操作中心)的基础上的ITIL或任何其他适用的条例的详细信息。除了聘请顾问外，我在哪里可以找到其他人的好细节或经验？

Answer 1

这里有一些关于建立项目的经验，特别是安全项目，这些项目适用于咨询和外包，我在一个关于事件妥协的安全stackexchange的答案上写了这些。

至于资源，这在很大程度上取决于你所处的环境，你需要建立什么样的环境，需要雇佣多少人(以及资格级别)。在很多方面，一个好的战略顾问可以促使你做出更好的决定，但是如果你想要真实的故事--让我给你一些额外的建议。

安全事件和事件最好由熟悉暹粒和事件检测和反应(IDR)面板的人员跟踪--因此，寻找具有SIEM /log管理/IDR长期战略经验的候选人。对于人员配置，Lance Hayden使用Minitab中的Poisson分布来分析当前的安全事件/事件流，正如他在"IT安全度量“一书中所解释的那样。他还研究了业务工作流和其他对构建高质量SOC非常重要的概念。

对于IDR面板，可以考虑航空公司或RTIR --或者构建一个自定义面板，可能是基于它们的线框和工作流。许多组织将IDR纳入他们的票务系统，例如补救措施。

暹粒要花钱，但是有书和资源可以启动SOC。2011年的大多数安全事件是SQL注入(或其他web应用程序层攻击)和客户端浏览器/文档攻击(例如Adobe /Flash、Microsoft /Office/ActiveX、Oracle Java applets等)。我们强烈建议您的SOC团队熟悉这篇题为关闭回路的博客文章中概述的技术和工具。虽然这篇博文并没有淡化其他更重要的信息--但你特别感兴趣的是PDF格式6 下载。那篇论文很旧，但仍然很有意义。

要获得更多最新资源，请查看第一的指南和许多其他资源。

按需要排列，这些书也会有所帮助：

• 安全信息和事件管理(SIEM)的实现
• Windows平台和应用程序中的安全策略
• 恶意软件分析师的Cookbook和DVD:对抗恶意代码的工具和技术
• 恶意软件取证:恶意代码的调查与分析
• 网络安全黑客，第二版
• 安全电动工具
• 专业开源邮件:构建企业邮件解决方案