企业花费数百万美元构建和执行安全管理。为了避免失败和最大化投资回报(ROI),设计和构建一个成熟的安全管理中心(SOC)有几个因素要考虑。成功的安全管理始于了解组织的业务和技术需求,并且设置适当的目标。以下是实现一个新的SOC应该考虑的五个关键因素。
1.了解和设置监控目标
许多SOC是在没有了解环境中哪些应该被监控的情况下建立的。在构建之前,必须理解和解决业务需求以及技术需求。构建SOC的计划投入时间应该远远大于构建过程本身所花费的时间。这些需求(业务和技术)可以转化为用例。一个用例可以是一个业务用例——例如SOC必须能够发现超过特定金额的任何金融交易,并且发出提醒。或者可能是一个技术用例,如一个反常行为,必须能够看附加信息。
2.找到正确的技术配置
另一个挑战是将这些用例转化为可以再安全信息和事件管理(SIEM)工具上配置的规则。如果没有正确解析事件或规则配置错误,就不会实现所需的结果。这些相关规则应该定期调整消除错误或误报。同样的,应该定期检查SIEM工具没有报告的日志来源。详细日志来源和网络层次结构以及任何资