登录系统和日志源
登录培训是 SOC 运营的关键部分,尤其是对于新 SOC 而言,对于已建立的 SOC 而言也是如此;没有任何 IT 资产会永远保持不变。
登录是将系统添加到 SOC 范围的过程的名称。这意味着确保来自这些系统的日志由 SOC 系统收集或发送到 SOC 系统,以便可以对其进行监控。
登录培训是 SOC 运营的关键部分,尤其是对于新 SOC 而言,对于已建立的 SOC 而言也是如此。这是因为没有任何 IT 资产会永远保持不变。
执行加入的方法有多种,从加入常见日志源、使用风险评估的输出或仅仅加入绝对每个可用的日志源。
威胁建模也可用于支持加入,我们将在这里详细讨论这一点,因为我们将描述以威胁为主导的加入系统并将源记录到 SOC 中的方法。
这样做的目的是让您能够确定哪些日志源最适合您的组织并且应该加入。
日志来源
确定日志源,这些日志源将为您提供在执行安全监控时有用的信息。
威胁建模
笔记:
同样重要的是要记住,这种方法不会立即突出整个系统中风险的出现。这只是将适当的日志源引入SOC 系统,此时可以考虑系统范围的风险。有关识别系统范围风险的更多信息,请参阅后期更新的检测。
需要注意的是,执行威胁建模的方法有很多种,这只是有关如何开始组件级分析的指南。它大致遵循攻击树方法,但重点是识别最有价值的日志源和适当的检测用例。