Sto cercando risorse e dettagli sulla creazione di un centro operativo di sicurezza (SoC) o n centro operativo della rete (NoC) basato su ITIL o qualsiasi altra normativa applicabile. Dove posso trovare buoni dettagli o esperienze di altri, tranne che per l'assunzione di consulenti.
Ecco alcune esperienze su come stabilire progetti, in particolare progetti di sicurezza, che si applicano alla consulenza e all'outsourcing che ho scritto su una risposta di stackexchange sulla sicurezza relativa a compromessi incident .
Per quanto riguarda le risorse, beh dipende in gran parte dal tuo ambiente da ciò che avresti bisogno di costruire e da quante persone assumere (ea quali livelli di qualifiche). In molti modi, un buon consulente strategico o due potrebbero spingerti a prendere decisioni migliori, ma se vuoi la vera storia - lascia che ti dia qualche consiglio in più.
Gli eventi e gli incidenti di sicurezza sono meglio tracciati da personale che ha già familiarità con SIEM e rilevamento degli incidenti e amp; pannelli di risposta (IDR) - quindi cerca candidati con esperienza passata e strategica a lungo termine con SIEM / log-management / IDR. Per il personale, Lance Hayden analizza l'attuale evento di sicurezza / flusso di incidenti utilizzando la distribuzione di Poisson in Minitab, come spiegato nel suo libro, "IT Security Metrics". Entra anche nel flusso di lavoro aziendale e in altri concetti che sono molto importanti per la creazione di un SOC di qualità.
Per i pannelli IDR, considera AIRT o RTIR - oppure costruisci uno personalizzato, magari in base ai wireframe e al flusso di lavoro. Molte organizzazioni integrano l'IDR nel loro sistema di ticketing, come ad esempio Remedy.
SIEM costa denaro , ma ci sono libri e risorse per avviare un SOC. La maggior parte degli incidenti di sicurezza nel 2011 sono attacchi SQL injection (o altri attacchi a livello di app Web) e browser / documenti sul lato client (ad esempio Adobe Reader / Flash, Microsoft IE / Office / ActiveX, applet Java Oracle, ecc.). È altamente consigliato che il tuo team di SOC abbia familiarità con le tecniche e gli strumenti delineati in questo post del blog intitolato Chiusura del ciclo . Pur non attenuando l'altro, informazioni più importanti in quel post del blog - c'è qualcosa di specifico per te, [PDF] [il manuale CSIRT] 6 [download]. Quel documento è vecchio, ma comunque molto pertinente.
Per risorse più aggiornate, consulta le guide e molte altre risorse all'indirizzo PRIMO .
Questi libri saranno anche utili, in ordine di necessità:
Leggi altre domande sui tag operations network siem soc