8、安全自媒体“安全小飞侠”：谈一谈如何建设体系化的安全运营中心（SOC）（16页）.pdf

《8、安全自媒体“安全小飞侠”：谈一谈如何建设体系化的安全运营中心（SOC）（16页）.pdf》由会员分享，可在线阅读，更多相关《8、安全自媒体“安全小飞侠”：谈一谈如何建设体系化的安全运营中心（SOC）（16页）.pdf（16页珍藏版）》请在三个皮匠报告上搜索。

1、https:/en.wikipedia.org/wiki/Information_security_operations_center评估 初步梳理安全事件的类型，产生的原因和评估潜在影响范围控制 快速找到止损/减轻方案（或者是临时应对措施）将事件影响尽可能控制在最小范围内消除 查找事件产生的根本原因并提出和实施根治方案恢复 确保所有受影响的系统或者服务完全恢复到安全状态总结 总结和梳理安全事件处理和响应的整个时间线和应对方案，学习和审查安全事件产生的根本原因并生成知识库侦查(Recon)工具化(Weaponize)投送(Deliver)攻击利用(Exploit)控制(Control)执行(E

2、xecute)持久化(Maintain)实时匹配与检测外部和内部自产的情报(IOC)信息，如：文件hash,文件名,IP,域名,注册表,邮箱等。规范化和流程化地记录和总结所有以往发生的安全事件的调查过程和分析结果以便于日后查询和关联分析。编写各种检测规则和机器学习的模型对日志进行匹配与检测当前已知的威胁。收集各类日志，如：DHCP,DNS,Windows Event Logs,Antivirus,EDR,IDS,WiFi,邮件网关,Web网关,网络全流量镜像等。日志收集平台(SIEM)威胁检测平台(TDP)IOC检测平台(IDP)安全事件追踪与记录平台(ITP)域名与IP检测 https:/

3、https:/ https:/checkphish.ai/domain/avfisher.win https:/ https:/urlscan.io/https:/ https:/ https:/www.dan.me.uk/torcheck https:/exonerator.torproject.org/https:/ https:/ https:/ https:/www.vicheck.ca/https:/ Cuckoo:https:/ Regshot:https:/ Hacker:http:/ Monitor:https:/ ProcDOT:https:/www.cert.at/down

4、loads/software/procdot_en.html WinDump:https:/www.winpcap.org/windump/Graphviz:http:/www.graphviz.org/Download.php Capture-BAT:https:/www.honeynet.org/node/315(x86 environment only)Fakenet:https:/ SPF:http:/spf.myisp.ch/MX:https:/ CenterDefensive SecurityIncident Response(应急响应)Malware Analysis(病毒分析)

5、Digital Forensics(电子取证)Detection&Monitoring(检测与监控)Vulnerability Management(漏洞管理)Offensive SecurityThreat Intelligence(威胁情报)Threat Hunting(威胁猎杀)Penetration Testing(渗透测试)Red Teaming(红队行动)Tier 1团队 负责直接应对和协调处理企业各种安全事件 应急响应Tier 2团队 为Tier 1团队提供技术上的深度支持 病毒分析 电子取证 检测与监控 漏洞管理Tier 3团队 站在攻击者的视角主动检验当前已有的入侵检测和防御能力。威胁情报威胁猎杀渗透测试红队行动有效协同是关键平台工具是重点体系结构是基础