SOC e analisi dei log generici

2

Sto facendo un flusso di lavoro concettuale di un SOC così se supponiamo che un La soluzione SIEM è integrata all'interno del SOC interno di un'organizzazione. Inoltre, se il team del SOC è quello che gestisce la soluzione SIEM.

La mia domanda è quando affronteremo un formato di log che non corrisponde a nessuna delle regole di analisi già memorizzate nel parser SIEM, quindi passeremo a un formato generico e aggiungeremo manualmente una nuova regola di analisi per questa voce. Quindi quale livello di Analista dovrebbe essere responsabile di questo compito? Sapendo che ho:

  • Livello 1 (Triage): responsabile di avvisi ordinari e chiusura di falsi positivi

  • Livello 2 (analisi): in pratica, questo è il punto in cui la qualifica di avvisi non ordinari viene portata da L1 a L2 che richiedono ulteriori indagini.

  • Livello 3 (Indagine): per indagini approfondite in cui sarà necessario identificare i vettori di attacco e gli attori applicano anche alcuni dati di arricchimento ...

  • Squadra di rimedi: dove conterremo e sradicheremo e recupereremo dall'incidente ...

  • Gestione SOC: gestisce l'amministrazione, la supervisione e la gestione dei servizi del SOC.

posta Hilo21 23.04.2018 - 12:31
fonte

4 risposte

1

Sebbene FIRST, SANS, e molte altre fonti sostengono che livelli di Analyst (L1 / Alert, L2 / Triage, L3 / Investigation, et al) sono un buon modo per strutturare SOC per raggiungere risultati ragionevoli, c'è la prova pesante che questo è un concetto mal costruiti che non porta a risultati desiderati - e non permette per i risultati ripetibili, aumenta in efficienze di medio termine oa lungo termine, e ha molte altre ripercussioni, tra cui incapacità di trattenere i talenti per periodi di tempo ragionevoli.

Ci sono alcuni altri concetti, incluso il NIST SP 800-181 e il Clusif Infrastrutture per la gestione degli incidenti e della gestione delle crisi . NICE NCWF sembra preferire le tue strutture più dettagliate, mentre CLUSIF ha un altro approccio raccomandato più piatto e meno pesante.

Un aspetto importante della gestione degli eventi e degli incidenti legati alla cybersecurity, in particolare quelli relativi agli avvisi, è una formula adeguata per classificarli e definirli in ordine di priorità, oltre a una piattaforma per il loro funzionamento. Consiglia TheHive (e sottocomponenti) come piattaforma, e il DoD CJCSM 6510.01B o Categorie di eventi DHS (fornito come comparativo in CJCSM 6510.01B). TheHive ha 3 ruoli: lettura, scrittura o admin. Suggerisco di implementarlo e rendere tutti i membri del tuo SOC un amministratore.

    
risposta data 23.05.2018 - 18:12
fonte
1

Dipende molto dal SOC e dal modo in cui struttura il team. Nel mondo reale ci si può aspettare che gli analisti di livello 1, 2 e 3 costruiscano parser / connettori per normalizzare i log per il SIEM.

Date le descrizioni nella tua domanda, tuttavia, direi che nessuno di questi ruoli è giusto.

Il ruolo che mi aspetto di gestire questa attività sarebbe un lead tecnico . Qualcuno che ha il compito di amministrare e mantenere gli strumenti SoC.

    
risposta data 23.04.2018 - 14:08
fonte
0

Probabilmente andrei con il Livello 2. Molto probabilmente il Livello 2 sarà quello che tratta i falsi positivi (quelli più interessanti) e analizzerà il peso maggiore dei dati, quindi saranno più esperti in ciò che devono essere segnalati. Detto questo, se il livello 3 è la squadra più qualificata, potresti volere che approvino le regole, perché se le regole perdono qualcosa, potrebbe volerci molto tempo e possibilmente una violazione, prima di notare che le regole non stavano trovando qualcosa di importante . Per gli stessi motivi, è consigliabile rivedere periodicamente le regole esistenti.

    
risposta data 23.04.2018 - 12:38
fonte
0

Vorrei affidare questa responsabilità al team che distribuisce il prodotto. Loro hanno più familiarità con esso e dovrebbero essere tenuti a consultare la documentazione o il codice sorgente e fornire l'elenco degli eventi rilevanti per la sicurezza.

    
risposta data 23.04.2018 - 14:25
fonte

Leggi altre domande sui tag