SOC简述

SOC（Security Operations Centor）安全运营中心，是企业安全运营的中枢体系，负责对各类安全数据进行集中分析、威胁检测、事件响应和持续优化。

SOC的组成

人员

负责分析、决策和处置的核心执行者
现阶段的安全分析师，仅对初步研判后的内容进行人工处置+规则、系统的维护

流程

保证安全运营”有章可循”的方法体系

告警处理流程（SOP）
事件响应流程（IR）
升级机制（分级分类）
SOAR 自动化剧本
安全运营规范（值班、报告）

技术

支撑SOC运行的工具和平台

SIEM（日志汇聚与分析）
SOAR（自动化响应）
XDR / EDR / NDR（检测能力）
威胁情报平台 UEBA（行为分析）

SOC执行流程

SOC的核心就是数据即各个设备给出的日志，各个设备都有不同的标准和规则。
那么SOC的第一步就是日志解析（标准化日志），为什么日志解析？（当然日志解析也不仅仅是为了标准化，一些客户会给出定制化需求，满足定制化需求也需要进行日志解析）
大多数设备给出的日志都是JSON形式，JSON基础也就是键值对，每种设备有其不同的字段值（简单举个例子，某企业的APT设备对来源IP的字段设置为ipAddress，但是针对SOC平台的标准化字段则为srcAddress）

日志解析（不是很熟悉这方面，仅了解简单的Web界面日志解析方式和流程）
日志解析前先分析
什么设备？日志用来做什么？
日志多少种类型，大概写多少解析规则，日志中有什么特征可以进行区分？
每个解析规则要使用什么解析模式？
哪些字段需要key映射，哪些字段需要对value进行映射，哪些字段需要二次处理？
日志解析主要依靠正则表达式，正则解析也是最常见的解析方法
其他的方法还有JSON分析法和分隔符解析

SOC拿到标准化日志后进入后续，各个平台的分析检测

XSIME-日志汇聚与分析
XSIME通过分析师自定义的模型对日志内容/异常记录，综合多维角度（响应内容、命令行、资产、地址……）进行综合研判最终得出告警和异常记录（异常记录用于二次分析研判）。同时需要对告警出的内容进行降噪处理。

SOAR平台的降噪+研判+自动化处置

SOAR本身是SOP的转化
SOP的标准化流程转为SOAR的自动化降噪分析研判处置
SOAR的数据源可以是日志也可以是告警，针对日志进行降噪+研判；针对告警可以进行告警富化+降噪（SOAR的研判可引入动态风险评分以及资产权重占比研判，更加细化研判维度和方法）最终SOAR联动多设备进行自动化处置（防火墙自动化封禁、消息自动化推送、人工工单派发……）

UEBA大数据用户实体与行为分析

SIEM、SOAR平台的安全构建都是重度依赖边界流量来提供可见性。但是很多安全事件都发生在公司内部（某些恶意员工或拿到内部凭证的黑客，会模仿授权网络流量，躲避其他安全工具的检测），经权威结构调研，85%的数据泄露由企业内部发生，公司内部是很多企业难以获得足够可见性的地方。而UEBA的存在恰好弥补这一点，其重点进行行为特征的挖掘，以及未知异常和威胁行为的检测，为其他上下游系统提供精准告警。UEBA分析企业内部的设备日志，针对用户实体极其行为进行分析，提取出实体偏离自身基线/群体基线的异常用户，提取出存在异常行为的用户等
UEBA可以通过进行关联规则/组合规则编写来显著降噪，或者进行规则优化调整。

SOAR增设人工干预实现全流程处置闭环