供安全工程师实用的SOC模型

一、背景



如今,安全概念满天飞,什么安全运营中心(SOC)、威胁情报(TI)、态势感知等等不一而足,这些概念及其背后代表的安全思想都很好,不过很多产品为了迎合国内的工作汇报都做成了很多Dashboard,一来很酷炫,二来确实能看出趋势,方便决策。但是本身不适合工程师去处理问题,不适合一线工作人员处理具体的安全事件。所以简单的参考和设计了一个SOC模型,用来便于一线的安全人员去工作。

二、整体架构



架构图


名词解释


传感器


传感器在这里是各种常见的网络安全设备(例如IDS、WAF、FW、UTM、漏扫设备等等),或者各种应用系统或者蜜罐的日志输出模块,再或者镜像流量保存设备。总之就是和安全相关的各种告警、日志、流量数据都可以传到数据统一接收清洗平台,在这个地方箭头从传感器指向数据统一接收清洗平台,但不一定是传感器外发信息(例如syslog),也可以是开发者自己构造数据拉取引擎,通过原设备开放的API接口获取数据传输到数据统一接收清洗平台。
这里常见的传感器有:

  • IDS(开源的Suricata,Snort,国内厂商启明优势产品);
  • FW(天融信的优势产品,国外平底锅的);
  • WAF(开源的ModSecurity,国内绿盟优势产品,国外的Rapid7的);
  • 漏扫设备(Nessus、Nexpose、国内绿盟的优势产品);
  • 应用系统输出模块就不在赘述;
  • 镜像流量类设备(360企业安全天堤);
  • APT调查类设备(360企业安全天眼、态势感知,神州网云网镜等)
  • 蜜罐(开源的Dionaea、Glastopf、ElasticPot,Cowrie)
  • 终端安全软件(360安全卫士、天擎等)

数据统一接收清洗平台


数据统一接收清洗平台的作用就是接收数据,清洗数据,然后把清洗好的数据打入数据存储平台。为什么要清洗,是因为多来源数据的格式不同、字段名称不统一,只有清洗后才能统一存入数据存储平台,便于后面分析。所以整个流程中一般需要两个Logstash实例,一个消息队列。当然第一个Logstash实例也可以用带有数据清洗范式化功能的collector程序代替。所以这个地方一般的架构如下图。消息队列(Kafka、RabbitMQ)也可以用缓存数据库Redis。Logstash可以轻松的输入数据到消息Kafka和Redis,从二者中消费数据,监控新数据也很简单。

数据存储平台


这里实际上是一个大数据存储平台,为了方便检索和开源,选择Elasticsearch或是Splunk皆可。一般基于ELK整体解决方案,可以选择Elasticsearch。

智能分析平台


这是整个架构最核心的部分,一般是自研的分析引擎,从Elasticsearch中读取数据,按照自定义的规则分类、聚合、分析,然后再输出到一个消息队列中,然后再起一个Logstash实例去消费消息队列中的数据,反存入数据存储平台。这一步其实就是为了解决纷繁复杂的告警无法处理的问题,在这里可以过滤,检查、去重、筛选、聚合,输出最终可以处置运维的告警信息,彻底解放淹没在告警海洋中的安全工程师。

数据展示平台


这里我选择Kibana,因为也是基于ELK整体解决方案。Kibana方便展示,数据分析、适合工程师使用,也可以生成数据Dashboard,方便汇报和领导决策。

posted @ 2020-09-03 14:57  斑林鸽的代码世界  阅读(354)  评论(0编辑  收藏  举报