供安全工程师实用的SOC模型

一、背景

---

---

如今，安全概念满天飞，什么安全运营中心（SOC）、威胁情报（TI）、态势感知等等不一而足，这些概念及其背后代表的安全思想都很好，不过很多产品为了迎合国内的工作汇报都做成了很多Dashboard，一来很酷炫，二来确实能看出趋势，方便决策。但是本身不适合工程师去处理问题，不适合一线工作人员处理具体的安全事件。所以简单的参考和设计了一个SOC模型，用来便于一线的安全人员去工作。

二、整体架构

---

---

架构图

---

名词解释

---

传感器

---

传感器在这里是各种常见的网络安全设备（例如IDS、WAF、FW、UTM、漏扫设备等等），或者各种应用系统或者蜜罐的日志输出模块，再或者镜像流量保存设备。总之就是和安全相关的各种告警、日志、流量数据都可以传到数据统一接收清洗平台，在这个地方箭头从传感器指向数据统一接收清洗平台，但不一定是传感器外发信息（例如syslog），也可以是开发者自己构造数据拉取引擎，通过原设备开放的API接口获取数据传输到数据统一接收清洗平台。
这里常见的传感器有：

• IDS（开源的Suricata，Snort，国内厂商启明优势产品）；
• FW（天融信的优势产品，国外平底锅的）；
• WAF（开源的ModSecurity，国内绿盟优势产品，国外的Rapid7的）；
• 漏扫设备（Nessus、Nexpose、国内绿盟的优势产品）；
• 应用系统输出模块就不在赘述；
• 镜像流量类设备（360企业安全天堤）；
• APT调查类设备（360企业安全天眼、态势感知，神州网云网镜等）
• 蜜罐（开源的Dionaea、Glastopf、ElasticPot，Cowrie）
• 终端安全软件（360安全卫士、天擎等）

数据统一接收清洗平台

---

数据统一接收清洗平台的作用就是接收数据，清洗数据，然后把清洗好的数据打入数据存储平台。为什么要清洗，是因为多来源数据的格式不同、字段名称不统一，只有清洗后才能统一存入数据存储平台，便于后面分析。所以整个流程中一般需要两个Logstash实例，一个消息队列。当然第一个Logstash实例也可以用带有数据清洗范式化功能的collector程序代替。所以这个地方一般的架构如下图。消息队列（Kafka、RabbitMQ）也可以用缓存数据库Redis。Logstash可以轻松的输入数据到消息Kafka和Redis，从二者中消费数据，监控新数据也很简单。

数据存储平台

---

这里实际上是一个大数据存储平台，为了方便检索和开源，选择Elasticsearch或是Splunk皆可。一般基于ELK整体解决方案，可以选择Elasticsearch。

智能分析平台

---

这是整个架构最核心的部分，一般是自研的分析引擎，从Elasticsearch中读取数据，按照自定义的规则分类、聚合、分析，然后再输出到一个消息队列中，然后再起一个Logstash实例去消费消息队列中的数据，反存入数据存储平台。这一步其实就是为了解决纷繁复杂的告警无法处理的问题，在这里可以过滤，检查、去重、筛选、聚合，输出最终可以处置运维的告警信息，彻底解放淹没在告警海洋中的安全工程师。

数据展示平台

---

这里我选择Kibana，因为也是基于ELK整体解决方案。Kibana方便展示，数据分析、适合工程师使用，也可以生成数据Dashboard，方便汇报和领导决策。