10 стратегий первоклассного SOC (перевод гайда MITRE)

Стратегия 6. Часть 3. Анализ трафика, данные и метаданные.

8.2.3 Данные NetFlow

IDS просматривает весь контент сетевого трафика, однако нужна возможность просуммировать весь сетевой трафик, не оказывая большого воздействия на производительность. Дополнением к оповещениям IDS служат записи NetFlow (часто упоминаются как потоки). В отличие от записи или анализа всего содержимого соединений, запись потока содержит краткий обзор каждого сетевого соединения. Исходно стандарт NetFlow был разработан компанией Cisco, но теперь используется в различных сетевых устройствах и ПО и является стандартом Internet Engineering Task Force.

Устройство, генерирующее данные NetFlow, можно сравнить с регистратором телефонных звонков. Регистратор — это устройство, которое фиксирует все входящие и исходящие телефонные звонки по определенной линии, включая время, продолжительность, номера телефонов абонентов.

More

Стратегия 6. Часть 2. Мониторинг сетей

8.2 Мониторинг сетей

В большинстве SOC система обнаружения инцидентов и сбора данных по ним опирается на набор сетевых сенсоров, размещенных в инфраструктуре заказчика. Для осуществления качественного сетевого мониторинга аналитику необходимы три элемента:

  1. Начальное срабатывание сигнатурной или поведенческой системы обнаружения вторжений (СОВ, IDS). Сюда же входит возможность использования пользовательских сигнатур и доступ к полному описанию той сигнатуры или поведения, которое сработало (например, синтаксис сигнатуры).
  2. Данные NetFlow, отражающие сводку по взаимодействиям узлов, перечисленных в срабатывании, за несколько дней или недель до и после срабатывания.
  3. Захват пакетов, которые спровоцировали срабатывание, желательно полной сессии в формате libpcap (PCAP).

More

Стратегия 6. Часть 1: Максимизировать пользу от закупленных технологий

Первые SOC, появившиеся в 1990-х, работали с относительно небольшим количеством не очень сложных инструментов, в основном это были сетевые и хостовые IDS. Со временем рынок средств защиты сильно расширился так же, как и тактика, техника и процедуры (TTP) противника, его ресурсы и мотивация. Сегодня SOC должен использовать широкий спектр возможностей для выполнения своей миссии, что делает защиту сети гораздо более дорогостоящей, чем ранее. Нет ни одного инструмента, который делал бы все. Каждый имеет свои ограничения, и при этом должен взаимодействовать с другими инструментами в сложной архитектуре, поддерживающей комплексный мониторинг и расширенную аналитику.

Далее речь пойдет об инструментах, которые должны быть знакомы даже специалистам с небольшим опытом в защите сетей.

More

Стратегия 5, Часть 3: Как минимизировать текучку кадров в SOC

Поиск и удержание талантов – одна из самых больших проблем, с которыми сталкивается руководство SOC. В операционной среде текучка кадров – это жизненное обстоятельство. Удержать талантливых аналитиков особенно сложно, потому что работа в киберсреде хорошо оплачивается, а талантливых специалистов всегда не хватает.

Сотрудники SOC приводят множество причин, по которым им хочется оставаться на текущем месте работы. Вот три, наиболее распространенных из них:

  1. Ощущение себя частью сплоченной команды высококвалифицированных мотивированных профессионалов.
  2. Работа с новыми и интересными задачами каждый день.
  3. Вера в миссию сетевой безопасности – как в ее важность, так и в уникальность.

More

Стратегия 5 Часть 2: Сколько нужно аналитиков?

Это один из наиболее частых вопросов, который возникает при создании SOC как у руководства, так и у новичков в области обеспечения безопасности сетей. К сожалению, на него очень трудно ответить, поскольку в процессе возникает много сложностей. В этом разделе рассмотрим факторы, которые влияют на штатное расписание SOC, а на примере моделей крупных SOC из разделов 4.1.2 и 4.3.3 покажем, как грамотно обеспечить персоналом каждое подразделение SOC.

7.2.1 Общие соображения

Доступные ресурсы по вопросу подбора персонала для SOC чаще всего предлагают наиболее распространенные модели, где используются простые соотношения: либо количество аналитиков к количеству контролируемых устройств, либо количество аналитиков к количеству клиентов [93].

More