成功的SOC具备哪些能力？

安全运营中心（SOC，Security Operations Center）传统上一直是企业集中办公的地方，把安全人员、关键技术和所需的数据统一放在一个地方，以提高安全性和合规能力。成功的SOC能够提高企业的事件检测和响应能力，同时促进和巩固其安全措施。

成功的SOC是由包含了自适应响应框架的智能架构驱动的，那么，以分析为驱动的SOC应具备什么样的能力呢？Gartner认为应该是以下五种能力：
威胁情报

高级分析
自动化
主动搜索和调查
采用自适应安全架构

先来谈谈自适应安全架构，基于Gartner的定义，它应该是“核心基于连续监测和分析，并提供可整合智能驱动的SOC方案所需人员、流程和技术的组织原则。” 既然如此，Splunk的客户是怎样成功使用Splunk Enterprise Security（ES）构建由分析驱动的SOC呢？

Splunk的响应

Splunk Enterprise Security（ES）是安全信息事件管理（SIEM）解决方案，帮助SOC团队进行深度分析，快速探测并响应内外部攻击威胁，通过简化威胁管理来降低风险，在整个企业范围内实现连续监测、应急响应和SOC运营的可视化和安全智能。Splunk ES也有助于SOC运营部门对照实现Gartner定义的5种基本能力。
安全架构通常涉及很多层的工具和产品，这些工具和产品并不是为了协同工作而设计的，不能给安全部门跨多域工作提供支持。为成功实现具有预防、探测、响应和预测能力的自适应安全架构，企业应：

• 实现所有安全相关数据的关联

• 对现有安全架构进行深度分析

• 具有机器学习等先进的分析技术

• 尽可能实现自动化

• 使用双向环境增强功能实现与安全生态支持系统的集成。

Splunk平台在Splunk Enterprise Security中扩展了其“自适应响应”框架，为多供应商环境下的自动检索、共享和响应增加了通用接口，从而满足了这些需求。自适应响应计划的成员采取以下措施，协作解决复杂的网络威胁问题：

支持多供应商自适应安全架构

从现有的安全架构中获取新的深度分析结果

借助关键安全和IT领域更丰富的环境来加强调查
IT安全团队需要自适应响应来加强对分层防御信息的分析，采用不同的安全技术获取更多的信息和安全环境信息，在任何具体的安全域中进行一系列操作。
采用自适应响应的目的是帮助安全分析师（从专家级到刚入门的安全人员）尽快作出决定，面对威胁时采取行动，从而更好地处理威胁。
与传统方法不同，自适应响应模型结合了来自多个安全域和各种技术的警报和威胁信息。整合起来的深度分析结果使安全团队能够在整个攻击链中做出更明智的决策，尤其是在验证威胁、把分析驱动的响应指令应用于其安全环境中时。
自适应响应要求承诺能够支持多层安全架构，以便实现更智能的安全技术。此外，以分析为驱动的安全可以帮助企业更迅速地适应和应对威胁。

美国Fairfax县在云端使用Splunk Enterprise Security保护公民数据

美国弗吉尼亚州Fairfax县50多个政府部门的12,000多名工作人员为110万公民提供服务。在网络安全和IT方面，政府在很多领域都被视为领导者，能够满足那些熟知IT技术而且高要求的公民们的需求，并保护他们的数据。自从部署Splunk ES，把Splunk Cloud作为其SIEM平台之后，Fairfax县获益于：

• 主动支持50多个县级政府部门，保护公民数据

• 安全报告提交时间从两周变为实时

• 利用云服务，更加重视战略举措

在采用Splunk平台之前，Fairfax县面临的一个主要问题是有太多相互独立的系统，需要分别查看每一系统的事件日志。更重要的是，该县以前的SIEM工具已经无法胜任对3.9 PB数据的控制、访问和安全防护工作。

对比了Splunk数据分析平台和其他一些产品后，该县与Splunk专业服务团队合作，工作人员成功验证了概念，随后轻松的实施了项目。

Fairfax县现在受益于其运营智能云服务，进一步提高了运营弹性、安全性和可扩展性，而且很容易进行操作。从硬件角度看，数据中心的规模减小了，该县因此也降低了成本。而且，只需要一个人就能管理好Splunk的实施，使该县能够充分利用其资源。

如今，Fairfax县把Splunk平台和Splunk ES作为其SIEM来监测员工电子邮件是否受到钓鱼攻击，以及末端系统每天遇到的数以百万计的威胁。除了已知的威胁，该县还监视并防护危险的恶意软件，同时还保护包括监控和数据采集（SCADA）系统在内的关键基础设施。未来，该县拟使用Splunk平台来获取PCI相关数据以确保合规。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友