SOCと一般的なログ解析
[〜#〜] soc [〜#〜] の概念的なワークフローを作成しているので、 [〜#〜] siem [〜#〜] ソリューションは、組織の社内SOC内に統合されています。また、SOCのチームがSIEMソリューションを管理するチームである場合。
私の質問は、SIEMパーサーにすでに格納されている解析ルールのいずれにも一致しないログ形式に直面した場合、汎用的な形式に移行し、このエントリの新しい解析ルールを手動で追加することです。それでは、どのアナリストレベルがこのタスクを担当する必要がありますか?私が知っていること:
レベル1(トリアージ):通常のアラートと偽陽性のクローズを担当
レベル2(分析):基本的に、これは非通常アラートの資格がL1からL2にエスカレートされ、さらに調査が必要な場合です。
レベル3(調査):攻撃ベクトルとアクターを特定する必要がある詳細な調査では、データの強化も適用します...
修復チーム:インシデントを封じ込めて根絶し、インシデントから回復する場所...
SOC管理:SOCの管理、監督、サービス管理を行います。
FIRST、SANS、および他の多くのソースは、アナリストの層(L1/Alert、L2/Triage、L3/Investigationなど)がSOCを構造化して妥当な結果を得るための良い方法であると主張していますが、これは、望ましい結果につながらない不完全に構築された概念であり、繰り返し可能な結果を可能にせず、中期または長期の効率が向上し、合理的な期間人材を維持できないなど、他の多くの影響があります。 。
NIST SP 800-181 およびCLUSIF Cybersecurity Incident and Crisis Management フレームワークなど、他にもいくつかの概念があります。素敵なNCWFは、より詳細な構造を好むようですが、CLUSIFには、より平坦で重くない別の推奨アプローチがあります。
特にアラートからのサイバーセキュリティイベントとインシデントの管理の重要な部分は、それらを動作させるプラットフォームに加えて、それらを分類して優先順位を付けるための適切な公式です。 TheHive (およびサブコンポーネント)をプラットフォームとして、DoD CJCSM 6510.01B またはDHSイベントカテゴリ( CJCSM 6510.01B)。TheHiveには、読み取り、書き込み、管理の3つの役割があります。実装して、SOCの全員を管理者にすることをお勧めします。
それは本当にSOCとそれがどのようにチームを構成するかに依存します。現実の世界では、レベル1、2、および3のアナリストは、パーサー/コネクターを構築してSIEMのログを正規化することが期待されます。
あなたの質問の説明を考えると、これらの役割はどれも正しくないと私は言います。
このタスクを処理すると私が期待する役割はテクニカルリードです。 SoCツールを管理および保守するのが仕事です。
私はおそらくレベル2に行きます。レベル2はおそらく、偽陽性(興味深いもの)を処理し、データの矢面を分析するものであるため、フラグを立てる必要があるものに最も精通しています。とはいえ、レベル3の方が適格なチームの場合は、ルールに承認を求めることができます。ルールが何かを見落とすと、ルールが重要なものを見つけていないことに気付くまでに長い時間がかかり、違反する可能性があるためです。 。同じ理由で、既存のルールを定期的に確認することもできます。
製品を展開するチームにこの責任を課します。彼らはそれに最も精通しており、ドキュメントまたはソースコードを調べ、セキュリティ関連のイベントのリストを提供することが期待されます。