您购买了SIEM并确定SOC就在您的口袋里，对吗？

大约一个月前，我的一位老朋友邀请我到我的位置，这是一家相当大的公司的信息安全总监，他的目标是“让我感到惊讶”。 我注意到，我们之前与他讨论了许多公司在网络威胁领域面临的挑战以及建立SOC（安全运营中心）的问题。

因此，我开始了有关在公司中构建SOC的故事。



带着固有的礼节，信息安全总监陪伴我来到了他们IT部门的开放空间。 在那儿，他们向我展示了一堆装有昂贵“铁”的盒子以及规范的打印输出。 她指出要购买Quadrant for SIEM中包含的一家知名供应商的许可证。 他脸上的真正喜悦表明，先前谈话中出现的问题已在一夜之间得到解决。 后来他告诉我，除了这项“宝藏”之外，还商定了用于实施该系统的资金，并且计划为此活动雇用三名专家。 同时，他特别强调了“三位专家”，似乎清楚地表明他已经深入研究了这一问题并计算了一切。 该计算确实是相对合理的，但是不幸的是没有进行经验验证。

我们坐下来讨论了SOC建设项目的结构和他提出的经济模型。 我们试图评估分配的费率，角色和能力，以达到所需的服务水平。

最初的想法是将硬件支持委托给IT部门，将他们的工程师送到专门的供应商课程中。 接下来，对SIEM应用工程师使用第一次出价。 预期该同志将能够在训练后连接事件源，并且“建议在必要时编写连接器”（直接引用）。 另外，其余时间将参与简单事件的分析。 为专家们计划了第二和第三等级，以整理事件，制定新的关联规则并总体上制定方向。 它还考虑到可能发生许多事件这一事实，并且其中一位专家可能会生病或休假。

问一个问题：“预测是什么：根据消息来源，事件的数量，事件的复杂性和预期的反应时间？”，收到一个非常困惑的答案，然后是沉默和结论，带着悲伤的声音：“然后，我们将提出一些建议！。 ”。

对于那些出于某种原因意识到有必要实施SOC但却无法全面评估“灾难规模”的公司，这种情况可以说是非常典型的。

我们成熟了，我们需要SOC

引入SOC的前提条件之一是公司达到一定水平的成熟度。 根据需求金字塔的基本情况，这一级别可以更早地关闭，并意识到对于集成图片而言，现在缺少了一个重要组成部分。 确实，在公司整理好基础结构（网络体系结构，分段，域，更新过程和其他有用的东西），并引入了必要而充分的信息保护工具集（保护梯队，端点等）之后，就无意间设置了它。问题是：“我怎么能看到我的整个家庭以及如何评估我会看到的东西？”

当时，该公司应该已经建立了流程。 其中许多都是按照ITIL的最佳传统构建的。 IT支持部门（在某些情况下，信息安全性）被划分为支持热线，甚至可能会有24 * 7的工作模式轮换。 但是，值得注意的是，这样的公司很少，在我的记忆中，只有十分之三的公司（拥有1000多个工作站）才能在所有这些成就列表中大放异彩。

但是，如果我们以这30％的幸运者为例，那么它们将面临实施集成项目的任务，该项目应该退化为一项非常重要和关键的服务。 在该项目的框架中，用粗体笔画描述，有必要：

1. 实施和配置SIEM系统（与服务台或同等产品集成；建立和连接事件源；基本关联规则的自定义和应用等）。
2. 雇用和培训人员（专业的siem系统供应商课程，调查等）。
3. 记录并实施响应程序/指示（包括事件相册，按关键程度/复杂性进行排名以及大量文档，并以印刷形式与国家合同的结果相称）。
4. 定义部门之间的职责范围，明确定义SLA并启动服务。
5. 当第一个事件到达并得到明确处理时，松开软木塞，品尝一下汽水瓶。 该项目是可选的，仅取决于公司的内部文化。 验证该服务是否符合指定的SLA就足够了。

看起来一切都很简单，详细说明每个项目，制定计划并按时执行。 但是魔鬼在细节上。

SOC是所使用的技术，专家和已建立的流程。

现在按顺序。

SOC技术是服务用来自动收集信息，关联和主要分析的那些工具。 当然，该工具包取决于可用的功能。

SOC专家是具有以下领域能力的团队成员：

• OS，DBMS，AD和网络组件的管理；
• 信息安全系统的管理；
• IT应用系统管理；
• 分析（SOC的监视和第二行）；
• 具有相关经验和专业知识的分析（SOC第三条线：从在专业公司工作3年起，以及参与事件调查）。

SOC流程是一套涵盖4个领域的组织和技术程序：

• SOC基础架构支持（基础架构支持）；
• 监视安全事件（监视）；
• 事件调查（事件调查/响应）；
• 开发（服务开发）。

所有组件均旨在检测和预防网络威胁。

同时，对这些流程的最重要要求是它们应无缝地嵌入组织的当前业务流程中。 换句话说，SOC流程不能彼此分开，首先，必须对其进行精心构造，其次，要有效地执行其任务-带来期望值。 我们还注意到，关键服务的“花丝”被理解为相关部门员工行动中的绝对清晰和协调，在这种情况下，即使在不可抗力的情况下也不允许简单和违反指定的SLA参数。 更不用说流行的说法：“员工正在吃晚饭”或“无法通行”。 结果应该清晰，及时。 因此，SOC工作模型类似于兵役，并且所采用的法规和指示就像无条件执行的宪章一样。

矛盾的是，许多人认为SOC的主要组成部分是工具箱。 在这种情况下，应该给出以下示例。 想象一下，上帝禁止，你要去做手术。 这个消息并不令人高兴，他们开始在诊所为您打气，并说一些外科医生会进行手术，但是他拥有最昂贵的制造商之一的惊人手术刀。 关于“神奇手术刀”，他们会告诉您几次，甚至还可以出示证明其锋利度和金属纯度的证书。 我想这种论点不会让您特别放心，您将想询问医生以及他进行类似手术的经验。

当然，SIEM系统的选择非常重要，其功能应明确反映买方的需求。 但是，您始终需要记住以下事实，即SIEM只是自动化，这需要强大的能力和非常明确的工作逻辑来进行配置。

专家和流程是创建SOC的基石

从上面列出的必要能力中可以理解，SOC专家是通用且高素质的员工，他们应具有深入的技术知识和分析师的经验。 此外，俄罗斯联邦和独联体的SOC方向还很年轻，这意味着该领域的专家很少。 在市场上很难找到合格的“免费”专家。 首先，这些专家对处理使他们得以发展的新颖有趣的案例感兴趣。 需要一个线程。 因此，它们经常“进入”大型服务提供商，仅在相似的结构之间轮换。

值得注意的是这些专家的薪水水平。 此前，同事反复引用了分析法 。 该信息与今天非常相关，除了薪水水平-薪水已经提高了，并且在市场上平均达到15-20％。 这意味着选择雇用专家的公司必须支付相当大的钱。 前提是很少有公司（“服务提供商”除外）可以充分利用专家的时间至少70％，这笔钱与收益有多大的关联性？ 即使这样的专家因高薪而被解雇，他找到一份更有趣的工作的可能性仍然很高。 另外，据统计，这种为期3-7年的项目服务团队成员已完全更新。 这是现实，必须予以重视。

因此，该公司购买了一个出色的工具包，一个功能强大且有效的SIEM系统，并聘请了一个才华横溢且经验丰富的SOC专家，他能够创建一个友好而协调的负责任的专家团队。 此外，该团队应获取系统支持，制定必要的程序和规章，加以实施并开始进行工作。 值得注意的是，即使在集成商提供了很好的建议后（帮助降低SOC成本）（实施系统，进行了流程审核，创建了基本规则并编写了必要的说明），SOC团队仍然需要进行大量工作来优化针对公司实际情况创建的响应中心。 在个案模式下遵循工作流程和工作计划。
如果没有咨询，并且团队必须自己构建SOC，那么故事将变得更加有趣且成本更高。 这就像在生产工作的第一天将一名研究生（尽管有红色文凭）放在最负责任的网站上一样，希望他“会以某种方式使自己适应”。

因此，为了将SOC的创建委托给正在创建的团队，您需要为两种情况做好准备：

1. 招募一个已经创建了类似服务的专家团队（通过这种组合，或者根据参与者的角色来单独设置）。
2. 从相关领域招聘具有相关知识的专家，并从错误的决策，缺陷和不一致的行动中“投入”资金。

在这两种情况下，由于保证结果和达到服务目标工作的时机，第一种选择更有可能预算更多。 此外，在第一个版本中，项目服务的发起人已经初步了解了必要员工的数量和必要角色的组成（支持热线的数量，包括24 * 7或8 * 5操作模式；具有功能的分析师数量；对SIEM和组件的支持等）。 在第二种情况下，申办者通常在以下类别中争论：“我们有5个通用工作单元，每个专家可以同时处理2个工作单元，因此我们需要2个专家和1个学生。” 这看起来似乎很荒谬，但实践表明，在繁琐的任务流程中，一些领导者会自动做出这样的决定。 同时，我们的口号是：“会有好员工，然后我们将提出如何使用它们并进行加载”的结果。

还是SOC即服务更好？

现在，互联网充满了最新趋势：数字化转型（数字化转型），公司完全陷入“云”，非核心流程被外包。 大型公司开始提供平台，您可以使用该平台拨打必要数量的服务来维持和发展任何规模的业务。 外包会计，法律服务，呼叫中心，交钥匙IT：这仅仅是全球变革的开始。 而且，服务的类型可以是绝对任意的。 直到昨天，诸如“印刷外包”之类的那些看起来令人难以置信的原始事物，如今仍是需求旺盛的。 此外，我们可以看到西方市场上面向服务的模型的发展趋势，该市场传统上领先于俄罗斯联邦和独联体。 它规模巨大，涵盖了所有领域。

SOC即服务（SOCaaS）也不例外。 市场上有足够的参与者，托管安全服务提供商（MSSP），它们为客户提供的服务并不是“重新发明轮子”，而是仅仅利用该领域的专业知识和经验。 正是在这里，“专家”充实了自己的双手并获得了丰富的经验，这使他们能够制定清晰有效的流程。 他们收集所有耙，以分析所有可能的情况并提供与客户需求相关的选项。 客户不需要发明任何东西，他只需尝试提供的选项并选择必要的选项即可。

这个故事中最“美味”的是：

• 客户将以相当合理的价格获得所需数量的全部昂贵专家的名单；
• 该服务在其他公司经过精心设计，训练有素并经过测试；
• 服务公司负责SLA资金和“人为因素”的实施；
• 客户获得了统包服务。 这意味着客户不需要为服务的开发生成建议，服务提供者将自己提供。 当然，不必担心SOC团队的动力或专家的流动。 选定的合作伙伴将负责此事宜。

结果如何？

对于我的朋友，有两种选择可以成功摆脱这种情况：

1. 为了为以前建立SOC的称职专家获得额外预算，并至少再增加4名员工（并采用24 * 7模式-由7名专家进行扩充），然后完成一个雄心勃勃的内部项目。
2. 获得更大的预算来构建交钥匙的SOC，合格的，经验丰富的服务提供商将充当承包商。 这是一部价值数千万卢布（资本支出）的小说，但结果肯定。 这样，Opex也将与第1点相当，但是，所需的服务水平将更快地获得。

无论如何，这两种选择都与在SIEM许可证上花费的资金成本相对应，并且比具有相同参数的托管服务贵很多倍。 这是事实！ 这就是为什么现在这个领域如此积极地发展，并且在感兴趣的公司中需求量很大。

但是，必须认识到，即使是最好的服务也不是解决客户所有问题和痛苦的通用手段。 和往常一样，一切仍然受特定任务的支配，钱包的大小和SOC客户的花哨。

信息安全副首席执行官Denis Gushchin。