SOC e analisi dei log generici

Sebbene FIRST, SANS, e molte altre fonti sostengono che livelli di Analyst (L1 / Alert, L2 / Triage, L3 / Investigation, et al) sono un buon modo per strutturare SOC per raggiungere risultati ragionevoli, c'è la prova pesante che questo è un concetto mal costruiti che non porta a risultati desiderati - e non permette per i risultati ripetibili, aumenta in efficienze di medio termine oa lungo termine, e ha molte altre ripercussioni, tra cui incapacità di trattenere i talenti per periodi di tempo ragionevoli.

Ci sono alcuni altri concetti, incluso il NIST SP 800-181 e il Clusif Infrastrutture per la gestione degli incidenti e della gestione delle crisi . NICE NCWF sembra preferire le tue strutture più dettagliate, mentre CLUSIF ha un altro approccio raccomandato più piatto e meno pesante.

Un aspetto importante della gestione degli eventi e degli incidenti legati alla cybersecurity, in particolare quelli relativi agli avvisi, è una formula adeguata per classificarli e definirli in ordine di priorità, oltre a una piattaforma per il loro funzionamento. Consiglia TheHive (e sottocomponenti) come piattaforma, e il DoD CJCSM 6510.01B o Categorie di eventi DHS (fornito come comparativo in CJCSM 6510.01B). TheHive ha 3 ruoli: lettura, scrittura o admin. Suggerisco di implementarlo e rendere tutti i membri del tuo SOC un amministratore.

Dipende molto dal SOC e dal modo in cui struttura il team. Nel mondo reale ci si può aspettare che gli analisti di livello 1, 2 e 3 costruiscano parser / connettori per normalizzare i log per il SIEM.

Date le descrizioni nella tua domanda, tuttavia, direi che nessuno di questi ruoli è giusto.

Il ruolo che mi aspetto di gestire questa attività sarebbe un lead tecnico . Qualcuno che ha il compito di amministrare e mantenere gli strumenti SoC.

Probabilmente andrei con il Livello 2. Molto probabilmente il Livello 2 sarà quello che tratta i falsi positivi (quelli più interessanti) e analizzerà il peso maggiore dei dati, quindi saranno più esperti in ciò che devono essere segnalati. Detto questo, se il livello 3 è la squadra più qualificata, potresti volere che approvino le regole, perché se le regole perdono qualcosa, potrebbe volerci molto tempo e possibilmente una violazione, prima di notare che le regole non stavano trovando qualcosa di importante . Per gli stessi motivi, è consigliabile rivedere periodicamente le regole esistenti.

Vorrei affidare questa responsabilità al team che distribuisce il prodotto. Loro hanno più familiarità con esso e dovrebbero essere tenuti a consultare la documentazione o il codice sorgente e fornire l'elenco degli eventi rilevanti per la sicurezza.