Estoy buscando recursos y detalles para establecer un centro de operaciones de seguridad (SoC) o n network operation center (NoC) basado en ITIL o cualquier otra normativa aplicable. ¿Dónde puedo encontrar buenos detalles o experiencias de otros, excepto para la contratación de consultores?
Aquí hay algo de experiencia sobre el establecimiento de proyectos, especialmente proyectos de seguridad, que se aplica a la consultoría y la subcontratación que escribí en una respuesta de intercambio de seguridad sobre incidentes de compromiso .
En cuanto a los recursos, depende en gran medida de su entorno en cuanto a lo que necesitaría construir y la cantidad de personas que contratará (y en qué niveles de calificación). De muchas maneras, uno o dos asesores de estrategia podrían empujarlo a tomar mejores decisiones, pero si quiere la historia real, permítame darle algunos consejos adicionales.
Los eventos de seguridad y los incidentes son mejor rastreados por personal que ya está familiarizado con SIEM y la detección de incidentes & paneles de respuesta (IDR): busque candidatos con experiencia práctica anterior y estratégica a largo plazo con SIEM / log-management / IDR. Para la dotación de personal, Lance Hayden analiza la corriente actual de incidentes / eventos de seguridad utilizando la distribución de Poisson en Minitab, como se explica en su libro "Métricas de seguridad de TI". También se dedica al flujo de trabajo empresarial y otros conceptos que son muy importantes para crear un SOC de calidad.
Para los paneles IDR, considere AIRT o RTIR - o construya uno personalizado, quizás basado en sus wireframes y flujo de trabajo. Muchas organizaciones integran IDR en su sistema de emisión de boletos, como Remedy.
SIEM cuesta dinero , pero hay libros y Recursos para comenzar un SOC. La mayoría de los incidentes de seguridad en 2011 son inyección de SQL (u otros ataques de capa de aplicación web) y ataques de navegador / documento del lado del cliente (por ejemplo, Adobe Reader / Flash, Microsoft IE / Office / ActiveX, applets de Oracle Java, etc.). Se recomienda encarecidamente que su equipo de SOC esté familiarizado con las técnicas y herramientas descritas en esta publicación del blog titulada Cerrar el bucle . Si bien no es para bajar el tono, hay información más importante en esa publicación del blog: hay algo de interés específico para usted, [PDF] [el Manual del CSIRT] 6 [descargar]. Ese papel es antiguo, pero sigue siendo muy relevante.
Para obtener recursos más actualizados, consulte las guías y muchos otros recursos en FIRST .
Estos libros también serán útiles, por orden de necesidad:
Lea otras preguntas en las etiquetas network siem operations soc