18、安全运营中心与信息安全架构建设

安全运营中心与信息安全架构建设

1. 安全运营中心（SOC）概述

安全运营中心（SOC）是企业整体组织基础设施的集中视图，其核心目标是有效识别和应对企业网络中的信息安全威胁。为实现这一目标，需要开展多方面的工作，包括日志分析、流程与程序制定、工具运用等。

1.1 日志或信息分析

在获取生产环境的信息系统数据和日志源可见性后，需进行日志缩减和日志分析：
- 日志缩减 ：将日志源中的可用信息精简为判断网络是否存在威胁所需的必要信息。
- 日志分析 ：涉及自动化和人工交互的日志审查，以及建立分析自动化的工作。具体包括对以下指标的分析：
- 互联网域名
- 文件哈希
- 地理位置异常
- IP 地址
- 特权用户账户异常行为
- 潜在的数据泄露

同时，还需设计、测试和实施事件与警报的关联规则，并对通过关联规则生成的事件和警报进行分类处理，包括确定威胁归属、记录威胁细节、沟通调查结果，将事件响应活动从识别阶段推进到修复阶段。

1.2 流程和程序

有效运行的 SOC 依赖于精心设计的流程和程序，确保识别和修复活动能够以可重复和可靠的方式进行。关键的流程和程序类别与事件响应生命周期相呼应，主要包括：
|阶段|具体内容|
|----|----|
|识别|检测、分析|
|修复|遏制、根除、恢复|

以下是一个应对组织 Web 应用中跨站脚本漏洞的示例流程：
|流程步骤|角色|
|----|----|