SOC y análisis de registro genérico

2

Estoy realizando un flujo de trabajo conceptual de un SOC por lo que si suponemos que un La solución SIEM está integrada dentro del SOC interno de una organización. Además, si el equipo del SOC es el que administra la solución SIEM.

Mi pregunta es cuando nos enfrentaremos a un formato de registro que no coincida con ninguna de las reglas de análisis ya almacenadas en el analizador SIEM, luego nos moveremos a un formato genérico y agregaremos manualmente una nueva regla de análisis para esta entrada. Entonces, ¿qué nivel de analista debería estar a cargo de esta tarea? Sabiendo que tengo:

  • Nivel 1 (Triage): responsable de alertas ordinarias y cierre de falsos positivos

  • Nivel 2 (Analizar): básicamente, aquí es donde se escala la calificación de alertas no ordinarias de L1 a L2, que necesitan una mayor investigación.

  • Nivel 3 (Investigación): para investigaciones profundas en las que necesitaremos identificar vectores de ataque y los actores también aplican cierto enriquecimiento de datos ...

  • Equipo de remediaciones: donde contendremos, erradicaremos y nos recuperaremos del incidente ...

  • Administración de SOC: maneja la administración, supervisión y administración de servicios del SOC.

pregunta Hilo21 23.04.2018 - 12:31
fuente

4 respuestas

1

Aunque FIRST, SANS y muchas otras fuentes afirman que Tiers of Analyst (L1 / Alert, L2 / Triage, L3 / Investigation, y otros) son una buena manera de estructurar los SOC para obtener resultados razonables, hay pruebas sólidas de que este es un concepto mal construido que no conduce a los resultados deseados, y no permite resultados repetibles, aumentos en las eficiencias a mediano o largo plazo, y tiene muchas otras repercusiones que incluyen la incapacidad de retener talento para períodos de tiempo razonables.

Hay algunos otros conceptos, incluido el NIST SP 800-181 y el CLUSIF Marcos de gestión de crisis e incidentes de ciberseguridad . NICE NCWF parece preferir sus estructuras más detalladas, mientras que CLUSIF tiene otro enfoque recomendado que es más plano y menos pesado.

Una pieza importante de la gestión de eventos e incidentes de ciberseguridad, especialmente de alertas, es una fórmula adecuada para clasificarlos y priorizarlos, además de una plataforma para trabajarlos. Recomiende TheHive (y subcomponentes) como plataforma, y el DoD CJCSM 6510.01B o Categorías de eventos DHS (proporcionadas como un comparativo en CJCSM 6510.01B). TheHive tiene 3 roles: lectura, escritura o administración. Sugiero implementarlo y hacer que todos en su SOC sean administradores.

    
respondido por el atdre 23.05.2018 - 18:12
fuente
1

Realmente depende del SOC y de cómo lo estructura el equipo. En el mundo real, se espera que los analistas de Nivel 1, 2 y 3 construyan analizadores / conectores para normalizar los registros para el SIEM.

Sin embargo, dadas las descripciones en su pregunta, yo diría que ninguno de estos roles es correcto.

El rol que esperaría que se encargara de esta tarea sería un Director Técnico . Alguien que trabaja es administrar y mantener las herramientas de SoC.

    
respondido por el TheJulyPlot 23.04.2018 - 14:08
fuente
0

Probablemente iría con el Nivel 2. El Nivel 2 será probablemente el que trate con falsos positivos (los interesantes) y analice la parte más grave de los datos, por lo que estarán más versados en lo que necesitan marcarse. Dicho esto, si el nivel 3 es el equipo más calificado, es posible que desee que aprueben las reglas, ya que si las reglas faltan a algo, puede llevar mucho tiempo y posiblemente una infracción, antes de notar que las reglas no encontraron algo importante. . Por los mismos motivos, es posible que desee revisar las reglas existentes periódicamente.

    
respondido por el Peter Harmann 23.04.2018 - 12:38
fuente
0

Yo pondría esta responsabilidad en el equipo que implementa el producto. Están más familiarizados con él y se debe esperar que revisen la documentación o el código fuente y proporcionen la lista de eventos relevantes para la seguridad.

    
respondido por el John Deters 23.04.2018 - 14:25
fuente

Lea otras preguntas en las etiquetas