安全管理平台，SOC/SIEM的实践分享实践篇

SOC/SIEM体系的建设要基于企业自身的环境现状，这里重点是企业内外部环境识别。

识别内外部环境分为：识别区域与外部边界；识别当前网络上下行链路以及内部基础设施。

识别区域与外部边界可以从业务所在区域和人员所在区域入手。

业务所在区域一般以防火墙或WAF或IPS为防御边界。而攻击方比较喜欢攻击业务所在区域，大量的信息探测、恶意爬虫、漏洞利用尝试、WebShell上传等手段都会针对此区域的资产展开。

人员所在区域或办公区域一般以终端为防御边界。主要通过钓鱼邮件来对终端植入恶意程序，并进行扩散，最终以获取IT基础设施的信息或者权限为目的，如域控、邮件服务器等，以期在企业内部找到支点，可以获得进一步进入业务区域的机会。

识别当前网络上下行链路以及内部基础设施自然是从网络上下行链路以及内部基础设施入手。

识别内部基础设施：主要围绕终端用户的一系列行为进行。了解正常行为，可以反向推导异常。这要求我们对内部防御手段以及基础设施，要有一个清晰了解。根据终端用户常见行为，我们需要在邮件网关、上网行为管理、防病毒、终端安全管理等方面做好相应的监控及防护手段。

建设SOC/SIEM前，需要清晰了解内部的资产，包括应用、中间件以及数据库等的服务器，对应的网段，存在的服务，Web区域（或DMZ区，或其他与互联网有交互的区域）与内部其他区域的正常通信情况，并将资产、漏洞以及威胁关联查看。而难点在于如何将资产、漏洞为非时序数据，与威胁事件进行关联分析。

识别资产以及脆弱性主要围绕以下四点：

1、漏洞管理

2、基线管理

3、新增资产

应丰富资产属性，方便资产管理；及时发现新增资产，补充资产盲区。

4、变更资产

及时发现已有资产的变更，将其与威胁、漏洞关联起来，如版本变更可能带来的新安全隐患。

对漏洞以及资产进行关联，可以从威胁、漏洞、资产三方面入手分析。看重点威胁是利用什么漏洞、针对哪些资产进行攻击；看资产存在哪些漏洞，是否与威胁利用的漏洞一致。

关联的关键点在于自动关联分析以及展示高风险事件、多元安全数据过滤高精度告警、对原始数据进行溯源分析上。

针对威胁，我们需要有一个模型对其进行分析，并持续地对模型进行优化，以长久保持规则的适用性。

对于安全事件，如何进一步去做溯源分析呢？下面这张思维导图提供了概要的思路。针对一个安全事件，我们从源地址进行分析，然后再到目的地址。对目的地址进行分析时，又会根据不同的资产，有不同的分析策略。如果是外部资产，则去排查内网源地址攻击情况，如果是内部资产，则去执行其他的动作。有一点需要注意，根据这个地址是首次攻击还是历史出现，会有一个攻击者画像的概念，根据攻击者的攻击记录，我们会对他采取相应的防御手段，比如封禁IP。

根据源地址、目的地址对安全事件进行分析，如果有用户名称的话，再根据用户名称，看用户的活动痕迹，结合安全事件的发生区域，最终要达成的一个目标，就是鉴定此次攻击的攻击结果。

当一起安全事件发生后，我们会对安全事件进行分析。影响SOC/SIEM项目成功的三要素，分别是人、流程、技术。对安全事件的结果进行鉴定后，响应的结果只有两个：封禁IP及锁定用户、不封禁IP和不锁定用户。围绕这两个结果，就应当建立起一套有效的安全事件响应机制，以便我们对这些事件作出相应的反应，安全事件响应机制包括安全事件的监测、分析、决策、处置以及修正。

简略而言，首先会有对安全事件的监测，基于监测上报的信息，对安全事件进行分析，接着通过分析安全事件是否属实，进行相应的决策或建议，最后就是处置。

SIEM体系建设需要多方协同，需要有一个完善的权限管理制度。

在SOC/SIEM真正实践落地时，我们通常需要结合企业内外部环境状况，对整个体系作出一个规划。

其次，评估SOC/SIEM平台部署的架构，实际部署架构要比我们之前提到的架构模型复杂得多，包括各个区域的数据采集、中间数据流程的走向、所需的服务器配置以及数量、各个角色需要通讯的端口等。

第三，确定数据源的类型和解析质量，解析质量对后面的分析结果的影响很大。

第四，安全事件处置流程，我们需要一个能够跑起来的流程，以便驱动SOC/SIEM的运营。

最后再强调一点，我们应该基于企业的实际运行环境，注重对威胁模型的调优，而不仅仅是把规则建立好就可以了。我们应该是持续地对规则进行监测，看看威胁告警情况如何，涉及哪些资产？攻击结果如何？告警可能会有一些误报，但我们需要意识到这是正常的，我们才能不断调整，从而使规则更适合我们的环境。

关于SIEM建设，我们提倡的是自动化、工作流和分权，这是我们的目标，也是我们持续在做的，并且对用户来说也是有价值的。