FreeBuf甲方群话题讨论|聊聊企业SOC..建设

当前，安全管理..(SOC)已成为企业提高信息安全水平的主要工具，但往往安全并不是靠某个工具就能解决，对..赋能，给予必要的支撑十分重要，诸如态势感知，已成为支撑SOC建设的重要核心点，甚至将二者混为一谈。那么在具体建设过程中，该如何理清SOC相关服务产品间的关系及组织性，彼此该如何配合，以发挥最大效率，本期话题就围绕企业SOC..建设相关问题展开讨论。

1.买了态势感知、某eye等服务，建设SOC是把这类告警再给SOC一次么？这样的体验真的好吗？

2.建SOC前没买过态势感知类的产品，是不是只需要建SOC就可以了？

3.如果建SOC，需要买全流量存储设备吗？

（本文所有ID已做匿名处理）

1.买了态势感知、某eye等服务，建设SOC是把这类告警再给SOC一次么？这样的体验真的好吗？

@乌冬面

SOC不只是接收单一告警，而是要上下文关联，更精确告警。

@宫保鸡丁

首先，什么是态势感知，什么是SOC。见过不少防火墙、杀毒之类的产品，也加了个“态势感知”的菜单，点进去最多算个看板。

@番茄炒蛋

主要还是看态势感知和SOC的定位，如果态势主要是展示大屏用，那么吐告警给SOC，结合其他日志做上下文关联分析，以及联动其他模块（比如SOAR）是有意义的。

@鱼香肉丝

某eye属于威胁感知吧，主要通过镜像流量接入。SOC应该把安全设备告警信息或主机、办公网、vpn...日志统一汇总到一个..进行关联分析，对安全事件进行响应。个人理解区别。

@夫妻肺片

理想化的当然是接入，但是实际情况是SOC一次性处理不了那么大的日志量。

@温泉蛋

这里我先理解态势感知就是一些安全设备、..哈，然后SOC是安全运营中心，算是个组织吧。我们有采购态势感知相关设备，本身投资比较大，还没有买齐全，目前是底层的一些探针服务器 、日志审计之类的，目的其实建立SOC的管理..，态势感知把所有安全设备的日志能接入，体验好一点的就是不用每台安全设备上去巡检安全日志，一个个统计分析，能减轻些巡检分析的工作量。不过说实话，如果只是为了把日志都接入SOC..方便你查询统计分析，而没有做安全联动以及更深化的网络安全管理提升工作，那SOC发挥的作用还有待提高，同样，你自有的安全设备是否充分用好了也是值得考量的。

@水煮肉片

态势感知建议考虑全家桶，就是硬件+软件，不然没专业团队处理日志，出不了效果，纯粹展示用。

各家安全设备的日志、格式、告警类型，完全都不一样，日至底层的格式处理就是一个大麻烦，但这个不处理好，又没办法做事件关联。还有日志接入也是一个麻烦的事情，安全设备、网络设备和主机，这需要考虑一个接入的比例。所以大型企业可以考虑去做这个事情，如果资金和规模不大，搞一个全家桶，简单 方便，重要是成本低。

@甜皮鸭

需要思考下，态势感知的目的，到底是什么。最开始的态势感知，就是全流量，不过它只是SOC的输入。最开始，厂商对于SOC的定义，都是SIEM，现在才扩大化，融入了soar的概念。现在安全运营中心，我个人浅显的理解是以SOC为基础，注入全流量、威胁情报、SIEM为数据源，融入soar的概念，对于事件创建剧本，拉通各个安全防护设备进行处置，不过这个里面不止需要人，还需要自动处置的权利。

回归这道题，我个人感觉，目前甲方已经过了单纯买厂商态势感知的阶段了，之前在等保2.0之前，很多客户还是考虑厂商态势感知通过三级等保。但是通过几年的使用和等保2.0的施行，之前的态势感知更多是HVV期间用来溯源的，而且厂商的态感可以联动的只是自己的产品，上全家桶也不符合异构的理念，也不是安全防护的最优解。因此，变成了通过SOC来进行联动，需要很多定制化的内容，不可能是开箱即用了。

2.建SOC前没买过态势感知类的产品，是不是只需要建SOC就可以了？

@番茄炒蛋

就了解的SOC功能来看，应该没有必要再单独买态势感知内产品，SOC都是可以扩展的，省去了选型和多厂家沟通的成本。

态势感知就是各类安全数据的统计、分析、预测和展示（目前大多数做不到预测），SOC是一个安全多功能集成..，可以包括态势感知的功能，还有其他的比如资产管理、设备联动（比如漏扫）、流程集成、自动化处理等。

@回锅肉

态势感知的根本是什么？什么是态势，什么是感知？其实很多单位都没有搞清楚，很多单位还在针对具体安全问题，能力没有建设完成是用不上的，但是看别人有，也跟着上。

@椒盐排条

态势感知本身就是聚合安全信息的..，各种安全设备联动信息和流量分析探针的聚会点，作为安全集中..也够用了。再有SOC本身是锦上添花，或许SOC对信息资产有比较好的支持管理，同步过去的话比较方便按照资产去做管理。态感本身不支持日志产品的信息同步收集，SOC可以在上层做大..集约。

@温泉蛋

态势感知与SOC，这个虽然不能直接画等号，但也是密切相关的，态势感知通常来说应该是一系列安全设备、产品构成，SOC固然要包括这些，但是还有对应安全运营能力建设，组织团队、岗位人员等等。

3.如果建SOC，需要买全流量存储设备吗？

@番茄炒蛋

需要，主要用来确认告警和溯源。不止存储设备，全流量安全分析也是SOC重要数据来源之一，安全分析和存储如果一套设备能满足就再好不过了。

@红烧鱼

是的，全流量对于问题追溯比较重要。

@番茄炒蛋

是，溯源是主要作用，但是全流量很费硬盘，一般企业存不了多久。

本期精彩观点到此结束啦~此外，FreeBuf会定期开展不同的精彩话题讨论，想了解更多话题和观点，快来扫码免费申请加入FreeBuf甲方群吧！

加入即可获得FreeBuf月刊专辑，还有更多精彩内容尽在FreeBuf甲方会员专属社群，小助手周周送..，社群周周有惊喜，还不赶快行动？

申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入会员俱乐部

如有疑问，也可扫码添加小助手微信哦！

精彩推荐