标签： SOC

APT是近年信息安全圈爆炒的话题，很多安全公司推出了抗APT产品，这种产品到底是创新还是忽悠？亦或是SOC的新衣？且看华安信达网友们的讨论！从APT讨论到了SOC，其实还就是因为SOC在攻击溯源、分析方面的便捷性。

一直在纠结要不要写这篇稿子，这也许会在信息安全行业掀起一片波澜和争议，但是不说，却始终无法摆脱对这个阳光行业的迷惑并心生退意。本文不针对任何 一家具体的机构和个人，如有雷同纯属巧合，切勿对号入座。 从05年至今，总有甲方、代理商、集成商要求我推荐安全产品，但是这个要求对于我而言总是难以启齿，刚开始属于无知者的时候还敢推荐一二，但是时间越久 发现自己越没有推荐的勇气，很多出道比我晚很多的朋友开着属于...

-----作者：honylau [ 2013-01-15 12:10 ]谈谈SOC建设的经验----- 笔者做了几年的SOC项目实施，先后在甲方和乙方服务过，谈一些SOC建设经验，不对的地方请多多指教： 1.who am I ？ -- SOC的定位 大多数时候对安全风险的判断逻辑应放在前端安全设备上，比如IPS/防火墙/防病毒软件等，而SOC则侧重于数据挖掘。举个例子：一个机器感染了蠕虫病毒是防病...

随着企业网络设备的增多，来自各个设备的日志也像洪水一样每天不断的冲击着IT部门的管理人员，因此，企业开始通过安全信息和事件管理(SIEM)方案来帮助管理如此大量的日志信息，同时通过这个方案来分析每一份日志，发现其中指示的安全问题。但是要成功的实施一套SIEM方案并不是简单的事情。接下来我们就来看看该如何考察一个SIEM产品并对方案实施给出一些建议。 什么是SIEM? SIEM实际上是两类产品的集合...

基于合规方面的要求，很多公司都会选择搜集和保存日志信息;但实际上，这些信息的真正价值远远超过了简单通过审核的需求。大部分IT专业人员和系统管理员习惯于对日志文件提供的信息进行分析，找出导致问题出现的原因。实际上，很多可用性监测工具的原理就是基于导致问题出现的根本原因经常会在事件流里找到这一前提的。 在过去十年里，事件监控工具中出现了一种新类型，可以对安全进行关注。与传统的可用性和性能监控工具相比，...

2012年5月初，SANS发布了2012年度的第八次日志与事件管理调查报告。本次调查的受访对象超过了600名专业人士，涵盖了各行各业，超过一半来自大中型企业。 调查问题1：收集日志的原因是什么？ 结果分析：82%的人认为最关键的原因是“检测/追踪来自内部/外部的可疑行为”；65%的人认为最关键的原因是“取证与关联分析”；58%的人认为最关键的原因是“阻止突发事件”。以上三种原因分列前三位。而201...

【IT168 资讯】2012年中国架构师大会进入第二天，更加有干货的技术专场吸引了众多的用户关注。在专场5的系统安全实践中，来自腾讯安全中心的安全专家胡珀带来了腾讯安全运维的最佳实践。 据了解腾讯安全中心是负责处理腾讯业务和产品安全问题的部门，成为与2005年，从最开始2人发展到如今的160多人，这个团队主要负责腾讯所以产品的整体安全，包括账号安全体系的建设，黑客攻击防御和危害信息打击三个方面，但...

网路游侠：最近身边有一些朋友在找日志审计、日志管理产品的需求，其实需求也就是常见产品的功能清单，也基本是用户在采购中需要注意的一些事项。不大想自己写了，就从百度文库找了一篇现成的文档。当然，功能描述的比较中性，很多厂家的都可以满足。在这里贴给大家看： 一、总体要求 支持对主流操作系统、数据库系统、应用软件系统、网络设备、安全设备进行自动采集。 支持SYSLOG和OPSEC LEA标准日志协议，能通...

天宫神八对接，信息数量再创新高。天宫一号空间站和神州八号飞船发射成功，标志着中国迈入航天“三步走”战略的第二步第二阶段——即掌握空间交会对接技术及建立空间实验室，同时也是中国空间站的起点，标志着我国已经拥有建立初步空间站，即短期无人照料空间站的能力。此次天宫一号和神州八号交会对接任务（以下简称对接任务）与以往所有任务相比，技术状态都发生了很大变化，对接任务采用了全新的传输协议，比以往任何一次航天任务都更为复杂，仅软件参数处理量就是神七发射任务的10倍。此次对接任务有超过5000个遥测参数，500多条遥控指令，100多个重要事件，400多个显示页面，技术状态变化数百项。可以说，每一条数据就如同人的全身神经，牵一发而动全身。如此巨量的数据交换，信息安全风险自然不能低估。在对接任务期间，一旦遭受干扰和侵袭，后果不堪设想。
...

　　美国时间2011年5月12日，Gartner发布了最新的《Magic Quadrant for Security Information and Event Management》报告。报告指出：在安全与合规需求的双重驱动下，SIEM技术获得了更广泛的应用。发现被攻击目标需要更有效的用户行为监控、数据访问监控和应用行为监控。厂商们正在寻求满足更广泛客户需求的解决方案。报告调查显示，2010年S

　　2011年4月25日，SANS正式发布了第七次（2011年度）日志管理调查报告。目前，SANS尚未正式公布下载链接。如有公布我会及时更新。

　　这份采访了747个涵盖大中小规模的组织后得出的报告摘要显示：日志管理系统在业界已经成熟，超过89%的受访者都收集了日志。根据报告，检测可疑行为与故障处理、取证分析与事件关联、合规性依然是三大日志管理的需求驱动力。与2010年相比，排名第二和第三位的驱动力发生了调换。此外，企业和组织开始收集更多的日志，包括工厂的SCADA系统、移动平台、PoS终端，等等。在受访者被问及日志管理的最大挑战是什么的时候，得到的回答如下图所示：
...

　　【摘要】本文首先通过分析SIEM技术的定义，分类及发展历史，阐述了安全事件管理、安全信息管理、日志管理等技术。然后，本文提及了安全集中管理、安全设备管理、安全管理平台（SOC）技术，并分析了他们与SIEM之间的历史和逻辑关系。

　　1、SIEM的发展与成因要说明什么是SIEM（Security Information and Event Management，安全信息与事件管理），必须从SIEM的发展历史说起。

　　最早的日志管理在SIEM技术产生之前，就有了日志，当然就有了日志管理之说。当时，最基本的想法就是收集IT网络资源产生的各种日志，统一收集存储，以备查询。那个阶段，最关键的不在于如何分析日志，而是如何收集日志。因此，在那个阶段，更多地是讨论syslog协议的问题，是讨论日志格式的问题。于是出现了很多基于这些技术的开源项目，例如kiwi syslog, syslog-ng等等。
...

　　面对从一开始就围绕SOC的纷纷扰扰，作为SOC从业者的我也始终在寻找SOC的定位、运用场景、价值、效果和发展方向。站在当下，回首过去，看到的是一条SOC发展的曲折道路，是一条SOC中国化的路。眼望未来，又有很多的可能在向我们招手，选择哪种可能性，都必定不会顺畅。

　　在所有关于SOC（这里指安全管理平台）的是是非非中，一个很常见的问题就是：SOC到底是什么，能够给我解决什么问题？带来什么实际的效果？也许是业界同仁们经历了太多的失败，面对这个问题，大都显得很沮丧。

　　首先，我想说，正如我在探寻安全管理平台（SOC）项目的关键成功因素中提及的那样，这个问题是一个世界性的难题，是由于系统自身的技术特点，以及使用者（用户）的条件决定的。
...

　　2009年9月1日Gartner发布了一份报告，叫做《SIEM与IAM技术集成》（SIEM and IAM Technology Integration）。（注释：SIEM即Security Information and Event Management，安全信息和事件管理；IAM即Identity and Access Management，身份和访问管理）在这份报告中，Gartner指出，“集成IAM和SIEM将有助于IAM的用户和角色管理能力，发挥SIEM的异常监视功能，提供比IAM自身更强大的审计能力。”Gartner一直将用户行为监视（User Activity Monitoring）作为SIEM的主要驱动因素。Gartner认为“用户行为监视对于威胁管理和合规管理都是十分重要的”。
...

　　原文地址请点“这里”

　　TT安全上的这篇文章谈及了SIEM实施的负面问题，指出了四个可能存在的主要原因。实际上，这篇文章源自DarkReading在2010年9月27日发表的这篇文章《Five Reasons SIEM Deployments Fail》，是一个采访多位业内人士的综合报道。原文指出的是五个原因。第五个原因谈及的是“SIEM的伸缩性问题，尤其是事件采集和处理性能的问题”。