独自のエンタープライズSOCのセットアップ
先日、24時間年中無休のSOC(セキュリティオペレーションセンター)の運用経験を持つサービスプロバイダー(MSSP)と話していました。彼らの価格は(数百万の範囲で)かなり急でした。なぜこんなに急なのか分かりません。 SOCの私の印象は次のとおりです。
a) getting a log collector such as HP arcsight
b) implement IDS on different locations, eg snort which is low cost.
c) forward the logs from these IDS (and other devices) to Arcsight
d) Let ARcsight do the magic of correlating events.
e) 2-3 Analysts on the Arcsight console monitoring 24x7 (on shifts) and
doing incident response. this I could probably do in-sourcing as I don't
have the staff to do this.the console could use vmware or some other
virtual technology, thus I save on the hardware cost?
以上のことから、私のSOCの費用が数百万ドルになるとは思いません。または、SOCの設定はそれほど簡単ではありませんか?
MSSPを使用するときに考えられる短所:
a) Lack of resource to monitor full time as MSSP may use shared resources for different clients
b) Slow response to incident?
c) Could not customize the way I want to run the show
MSSPの利用についてどう思いますか?独自の低コストSOCを設定したい場合、他に何を考慮する必要がありますか?
ありがとうございました
HP ArcSightのようなツールは非常に深くカスタマイズでき、関連するイベントを関連付けて意味のあるインシデントについて警告するための適切なユースケースとルールを記述するだけでも非常に困難です。多くの組織は、ArcSightを無残に実装することに失敗しています。
コネクタを介して生のログをロガーに、次にESMに取得し、ユースケースを作成するのは、ネットワークのサイズと帯域幅に応じて$ 100Kから$ 3Mの費用がかかるプロジェクトです。
しかし、いったん稼働すると、SOCの日常業務の一部として、アラートを調べてツールを調整し、過剰な誤検知を回避することができます。これには、ルールとユースケースの改訂が含まれます。最初の6か月間、適切なリソースがない場合、どのダッシュボードに注意を払えばよいかわからないアラートがいっぱいの赤いダッシュボードのみが表示されることがあります。
インシデントが発生した場合、世界クラスのSOCには、問題を処理するためのトリアージ、調査、エスカレーションプロセスが明確に定義されており、少なくとも2層のアナリストがいます。 24時間365日のSOCはほぼリアルタイムで応答し、検出された攻撃に対して適切なアクションを実行する必要があります。
通常、これらの層はセキュリティの専門家であり、高価であり、交代でローテーションするとさらに高価になります。サービスは信頼性が高くなければならず、多くの冗長性が必要です。また、脅威インテリジェンスの収集を行い、サイバー攻撃の新しい傾向について調査する必要もあります。これらはまれで高価な専門知識です。
しかし、SOCで年間100万ドルだけでは妥当ではありません。大きなプレーヤーに行く場合、彼らはスケールの経済を使用しているので、彼らはより良い取引を提供するかもしれません。