安全运营中心SOC实施经验分享

安全运营中心SOC实施经验分享一、平台介绍

二、实施经验分享三、项目案例分享

四、安永简介

目录SOC介绍1什么是SOC？从名称上来看：S->Security（安全），即SOC处理的事件或流程应该是与企业网络安全相关的；O->Operation（运营），代表着一种动态的动作，包括但不限于实时的检测和响应；C->Center（中心），体系化的建设，多领域安全产品、服务“叠加”而成的综合防线。安全运营中心（SOC）：面向全网IT资源的集中化安全管理平台，集预警，保护，监控，响应和分析等控制于一体，并形成标准化的流程管理，实现持续的安全运营。SOC的核心功能主要优势企业SOC构建信息安全新防务——主动防御与感知告警分析攻击链图谱威胁分析数据分析健康状态7*24监控7*24响应响应机制情报分析图形化界面………数据源汇集数据源过滤SOC工具Database防火墙服务器路由交换数据库入侵检测漏洞扫描病毒防御关键应用访问控制域名解析云资源………SOC团队信息安全运营为导向的防御机制机制

集中管控响应迅速情报分析威胁视图技术海量数据分析智能监控威胁建模攻击链图谱人员权值集中管理集中提高人员利用率实时响应安全防御望远镜企业信息系统外部威胁APT攻击勒索软件钓鱼攻击0day漏洞恶意邮件………Ddos攻击SQL注入XSS索引任何的机器数据WindowsRegistryEventlogsFilesystemsysinternalsLinux/UnixConfigurationsSyslogFilesystemPs,iostat,topVirtualizationHypervisorGuestOSGuestAppsApplicationsWeblogsLog4J,JMS,JMX.NETeventsCodeandscriptsDatabasesConfigurationsAudit/querylogsTablesSchemasNetworkConfigurationssyslogSNMPnetflowSOC工具基础框架实时从日志文件获取事件运行脚本获取系统参数，连接到API和数据库监听syslog或获取Windows事件通用方式索引任何内容格式的数据,不需要连接器SOC工具指标分析平台事件按管理域分类：访问控制管理病毒防护管理运维操作管理数据保护管理网络安全管理攻击防护管理备份恢复管理等安全事件部门排名：研发一部网络部销售部等资产安全事件状态：地域物理位置网络区域终端时间趋势图：安全事件等指标分析平台可定制主界面指标分析平台数据保护管理总览界面SOC工具指标分析平台该管理域下相关指标时间趋势该管理域下需要关注的风险点：部门涉及的文件……相关安全事件状态：级别严重性处理状态时间SOC工具指标分析平台指标分析平台运维操作管理指标界面3.指标说明和解释，以及该指标采用的数据来源1.时间筛选框，可以针对整个页面进行不同时间的筛选，默认隐藏

2.该二级管理域下的详细指标，鼠标点击可以进行切换4.该指标的可视化展示，从不同维度进行分析，方便直观5.需要关注的数据源详细信息，包含发生时间、登入IP、账户、操作命令等等SOC建设实例分享一信息破坏事件（IDI）篡改事件（IAI）信息假冒事件（IMI）信息泄露事件（ILEI）信息窃取事件（III）信息丢失事件（ILOI）其他信息破坏事件（OIDI）现象

大量涉密信息通过邮件外发，主要为单一账号所为。初步分析

账号被盗用，或内部员工泄露数据采取措施

联系该账号责任人，询问邮件发送业务场景。进行安全意识教育。事件分析与处置SOC建设实例分享二信息破坏事件（IDI）篡改事件（IAI）信息假冒事件（IMI）信息泄露事件（ILEI）信息窃取事件（III）信息丢失事件（ILOI）其他信息破坏事件（OIDI）现象

同一VPN账号短时间内在不同国家地理位置登录成功初步分析

VPN账号被盗用，或账号共享给他人。采取措施

联系该账号责任人，询问是否有共享账号给他人。要求其修改密码事件分析与处置SOC建设实例分享三有害程序事件（MI）计算机病毒事件（CVI）蠕虫事件（WI）木马事件（THI）混合攻击程序代码（BAI）网页内嵌恶意代码事件（WBPI）其他有害程序事件（OMI）现象

2台主机短时间内被病毒大量感染。初步分析

可能存在：a)该两台主机防病毒软件工作不正常，无法查杀病毒，或b)防病毒软件无法清除感染源采取措施

对该两台主机设备进行现场检查，获取杀毒厂商支持，彻底清除病毒事件分析与处置SOC建设实例分享四网络攻击事件（NAI）拒绝服务攻击事件（DOSAI）僵尸网络事件（BI）后门攻击事件（BDAI）漏洞攻击事件（VAI）网络扫描窃听事件（NSEI）网络钓鱼事件（PI）干扰事件（II）其他网络攻击事件（ONAI）现象

重要服务器短时间（2小时）内遭受多次漏洞攻击。初步分析

a)防火墙未能对攻击源进行拦截，b)内部服务器可能未及时部署相关补丁。采取措施

将攻击源IP地址列入防火墙黑名单；督促相关服务器负责人尽快修复漏洞。事件分析与处置SOC实施经验分享2项目实施方法 SOC架构安全运营中心预先报警漏洞告警在线欺诈管理科技监测品牌保护恶意代码告警智能情报管理流程改进KRI/KPI/SLA运营管理安全报告控制选择策略管理风险管理内部安全咨询资质认证知识管理身份与访问管理安全意识合规平台安全扫描安全事件管理工单系统审计日志调查工具工具预防监控安全评估安全审计策略合规系统管理资产管理实时监控欺诈检测性能&故障监控日志管理告警管理安全热线响应事件准备事件识别事件牵制事件复原事件根除

事件跟进

调查准备证据获取调查取证事件跟踪调查分析事后分析BCP/DRP安全运营中心建设SOC运营团队SOC经理第4层第3层第2层第1层经验水平SOC战略与方向团队管理与治理执行沟通SOC提高识别和协调安全运营团队重大破坏激增支持威胁情报/活动分析高级恶意软件分析计算机取证事故验证，确定范围事故遏制，消除和整治规划事故通讯根本原因确定指标收集和报告第二级事件的验证，范围确定主动日志分析/狩猎（事件间）事故协调终端现场反应/分析基本/动态恶意软件分析提交第3层警报/通知的第一级分流和响应关闭“常规”或低严重性事件单证创建并提交第2层全职员工全职资源高层职责按需资源事故响应(浪涌)威胁情报主动捕获事故响应漏洞识别事故响应安全监控安全运营中心建设项目分阶段实施步骤任务行业调研；SOC整体顶层设计，包含架构、管理流程、技术选型、人员能力等；现状调研及成熟度评估；整体建设规划；试点建设（总部一级中心及选取一个二级区域中心），包含基础能力建设，SOC工具落地建设、相关运营流程落地建设、人员团队建设等；建设推广规划优化。总部一级中心及部分区域二级中心联动试运营；其他二级区域中心建设推广及基础能力建设；运营团队建设及知识转移；任务阶段一安全运营中心整体设计及试点建设

阶段

二安全运营中心建设推广总部及区域中心联动整体试运行；整体架构及管理优化；运营团队建设及知识转移任务阶段

三安全运营中心服务整合及优化整体设计试点落地见效建设推广布局整体覆盖总分联动效益全面展现安永观点网络攻击杀伤链和全覆盖面通过分析来增加规则和指标，以加速发现恶意活动，同时减少误报。在整条攻击链中，越早察觉问题，可能造成的损失就越小。情报收集发起攻击背景调查命令与控制权限提升数据渗漏初始攻击建立据点持续攻击企业侦察横向移动权限提升收集并加密数据窃取数据启用状态网络杀伤链每个类别的SIEM用例数量攻击媒介示例(MITREATT&CK)样本攻击检测对策安永分析主要检测方法主要商业技术传统检测缺陷安永网络分析专注于通过自动化和先进的数据科学来提高分析人员的效率，从而缩短分析时间攻击前持续权限提升防御规避凭证访问发现横向移动执行收集外泄命令与控制漏洞利用钩子（Hooking）隐藏的文件和目录调查与信息收集浏览器扩展网络服务扫描远程桌面协议数据集结数据压缩自定义命令和控制协议威胁情报供给入侵检测/防御系统边界日志分析沙箱爆破网络IOC监控终端IOC监控网络IOC监控终端IOC及日志监控净流量异常分析净流量异常分析（点对点）网络IOC监控终端IOC及日志监控文件完整性监控净流量异常分析网络IOC监控网络IOC监控终端IOC及日志监控情报与监测服务签名、应用程序白名单签名、行为、应用程序白名单签名、行为异常和行为异常和行为异常和行为异常和行为异常和行为、应用监控攻击时间范围从初始入侵到企业检测到网络攻击的平均时间170天几小时到几个月几分钟到几小时几个月到几年无需监督的机器自动学习+AI模型,且基于算法。轻量级完整生态系统的可视化用以填补基于签名和行为的传统网络监测、预防能力的空白基于网络钓鱼的恶意软件凭证分析沙箱非基于规则的聚集的横向移动凭证分析身份妥协轻量级，非PCAP渗漏入侵企业成本20%≥入侵企业成本80%≤安装恶意组件轻视规划和设计环节范围界定不清楚，什么都想做好高骛远，过高的期望，理想化“Garbagein,garbageout”，数据质量参差不齐数据之间缺乏有效关联的手段企业内部人员安全意识不足，执行层推广不易安全人员配置不足1234567SOC部署失败的通病安永观点传统安全运营瓶颈驱动SOC建设安全报告（可视化）为各业务部门、合规部门等高层管理者提供所关注视角的安全报告。安全运营与事件管理（体系化）实现信息安全各领域的综合运营，提升信息事件安全运行能力。SOC系统自动化运营（平台化）安全运营数据的自动采集和分析，为安全运营提供数据支撑，促进安全运营流程的落地执行和改进。整体安全状态不可见安全事件处置缓慢安全设备多，日志量大，告警事件多，运维压力大安全运营的瓶颈SOC建设目标安永观点 SOC建设蓝图安全报告安全运营与事件管理SOC工具自动化运营支撑威胁情报安全监控事件分析事件响应补救处置对策安全运营能力1.安全运营状态2.安全事件的汇总分析3.安全事件的处理情况4.各安全运营领域的具体状态5.各安全领域所存在的问题6.领域中安全事件的具体情况7.领导重点关注内容展现建立安全运营组织明确运中心人员职责定义事件分类分级标准明确事件处理流程安全策略信息安全的组织机构资产管理人力资源安全物理和环境操作安全通信安全供应商关系加密访问控制信息安全事件管理业务连续性的信息安全方面符合性信息系统获得、开发和管理安全工具部署数据搜集规则配置事件告警安永观点SOC贯穿组织各层级的安全关注领域投资组合状态/健康经济与组织的平衡（例如：预算、人员编制等）聚合视图信息深入董事会CISO,CIO,

其他首席层管理域负责人层面操作层面信息安全危机事件

信息安全机遇与风险趋势信息安全投资回报率法律法规、标准等合规健康度控制（例如：补丁、病毒防护）控制映射（例如：NIST、ISO、网安法）针对不同管理域的控制（例如：身份访问控制IAM，数据保护等）:管理域指标特定管理域的项目运营风险（例如：事件、威胁、脆弱性）活动状态监控安永观点SOC集成平台提供关键见解并帮助制定决策

可移动的集成平台–通过移动设备实现可携带提高对风险态势和控制差距的可视化可定制的仪表板和报表以满足不同的报告需求对行业一致标准的理解能力对重要威胁和事件的实时洞察将安全态势有效传达给董事会明智的战略和财务决策投资提升维持优化管理收益:建立全面的信息安全视野将安全态势有效传达给高层全面安全管理平台和管理体系网络安全上升为战略层面关键基础设施信息安全防护安全运营中心建设收益 企业SOC构建的效益与价值安全平衡:整合现有资源平衡信息化风险与便利性平衡管控与成本投资收益:更好地监管要求合规符合性提高信息安全风险类投资的有效性提高已有安全产品利用价值降低信息安全事件带来的损失时间机遇:抢先一步、快速响应提升信息安全工作效率感知信息安全发展趋势提早发现风险、预防风险能力提升:变被动防御为主动防御提升企业信息安全防护能力对重要威胁和事件的实时洞察风险态势和控制差距的可视化信息安全意识升级信息安全精细化管理引入信息安全KPI信息安全预防与响应相结合构建SOC的效益与价值案例分享 3项目实施方法 安全运营中心设计报告设计安全指标设计安全运营组织设计安全运营流程设计安全事件分类分级标准设计工具验证参考ISO27001信息安全管理体系和行业要求，设计安全运营报告，展示安全整体状态。设计安全运营团队组织架构、运营角色、职责分工。参考国标及相关行业实践，设计安全事件分类与分级标准，标准化安全事件管理。根据设计的报告页面，设计支撑其数据的后台指标与对应规则，反映每个控制域的安全状态。设计安全运营流程，包括日常监控运维、事件响应、事件分析和事件汇报流程。将设计的报告、指标、流程与标准，指导SOC厂商开展POC测试验证。135264项目实施方法 项目实施步骤总览安永会根据客户的成熟度，为客户规划SOC建设的蓝图和路径规划，使得客户可以根据预算情况，选择合适的运营流程，逐步开展SOC的建设，并逐步应用到客户的场景，提供更多的商业价值。任务事件分类分级标准设计安全运营团队及流程设计运营报告设计SOC成熟度评估运营指标设计安全培训及安全意识教育工具产品POCSOC工具部署运营中心设计实现运营团队建立与知识库落地安全运营流程落地业务部门风险报告整体指标和流程优化安全事件分类标准清单安全事件分级标准清单安全运营中心组织架构图日常运营与事件流程SOC相关培训教材SOC系统架构设计图SOC运营指标风险评估报告知识库文件任务主要交付物主要交付物阶段1安全运营中心规划与设计

阶段

2安全运营中心建成安全运营状态总览安全策略信息整合操作安全信息整合符合性信息整合资产管理信息整合信息安全事件管理信息整合通信安全信息整合定期管理层报告定期安全运营报告任务主要交付物阶段

3安全运营中心业务服务项目实施方法 阶段1-安全运营中心规划与设计安全事件分类标准安全事件分级标准安全运营中心组织架构日常运营与事件流程为实现安全运营中心的建设目标，需要建立安全运营团队，规划日常运营与事件处理流程以及安全事件分类分级标准，以SOC系统平台为依托，落实到运营团队日常工作中。项目实施方法 阶段2-安全运营中心建成

自动化事件报告事件响应流程报表展现与设定数据检索与分析用户角色管理日志接入与数据提取支持各种机器数据SOC系统架构平台功能安全运营中心平台通过接收各种安全系统的日志数据进行分析，将运营中心设计配置落地，并配合持续优化，帮助发现和报告安全事件，管理事件的处理，提供直观的安全风险态势展示。信息处理及响应平台信息共享应急响应流程专家服务风险漏洞评估系统入侵检测系统病毒防范系统主机安全事件网络安全事件其它定制信息全球漏洞监控和预警系统正则化/标准化处理数据过滤数据合并关联分析实时风险分析(脆弱性验证)数据库知识库配置库信息收集工单派发电话短信SNMP等资产管理合规审计图形化呈现综合处理协调分析信息收集SOC产品市场项目实施方法 阶段3-安全运营中心业务服务SOC平台整合业务资产信息，交易记录，风险合规指标，综合分析并提供管理层及运营人员可视化展示。管理层报告运营人员工作台关于安永安永是全球领先的审计、税务、财务交易和咨询服务机构之一。我们的深刻洞察和优质服务有助全球各地资本市场和经济体建立信任和信心。我们致力培养杰出领导人才，通过团队协作落实我们对所有利益关联方的坚定承诺。因此，我们在为员工、客户及社会各界建设更美好的商业世界的过程中担当重要角色。安永是指Ernst&YoungGlobalLimited的全球组织，也可指其一家或以上的成员机构，各成员机构都是独立的法人实体。Ernst&YoungGlobalLimited是英国一家担保有限公司，并不向客户提供服务。如欲进一步了解安永，请浏览。©20XX安永，中国

版权所有。APACno.EDMMYY本材料是为提供一般信息的用途编制，并非旨在成为可依赖的会计、税务或其他专业意见。请向您的顾问获取具体意见。/chinaEY安永|Assurance审计|Tax税务|Transactions财务交易|Advisory咨询安永简介4战略管理咨询风险管理咨询安永咨询我们拥有两部分咨询服务客户管理供应链管理财务管理IT战略人员及组织管理财务风险管理精算服务内审服务企业风险管理IT审计服务数据风险管理信息安全管理IT风险管理全球前十大风险管理咨询企业为财富500强中75%的企业、国内60%的上市公司提供专业服务应用风险管理安永咨询服务

咨询服务总览安永在大中华区有超过400人的IT咨询顾问，其中在北京，上海，广州，深圳，香港，台湾等地更是具有专注在信息安全咨询服务的团队。安永大中华区信息安全团队上海香港

广州深圳北京台北武汉安永咨询服务

安永信息安全咨询大中华区团队

安永大中华区信息安全团队介绍：在中国有超过150位专注于信息安全领域的顾问专家。安全顾问有不同的背景专长，技能覆盖信息安全的各个方面。具有5年以上工作经验，且持有以下资格认证之一的人数超过60人：CISSPCISACISMISO27001LACEHCISP安永高级安全中心(ASCs)建于2012年，在我们的咨询服务中起着重要作用并且是业务的重要推动力；安永ACSs扫描客户的信息系统并主动搜索所存在的脆弱性和潜在威胁；安永ACSs拥有高水准的有安全评估人员能够进行多种系统的信息安全评估。安永高级安全中心(ASCs)安永发现的CVE零日漏洞安永的信息安全技术工具安永的网络威胁情报(CTI)CVE-2012-4847:IBMCognosBusinessIntelligenceDenialofServiceVulnerabilityCVE-2011-0158:MobileSafariinAppleiOSbefore4.3doesnotproperlyimplementapplicationlaunchingthroughURLhandlers,whichallowsremoteattackerstocause