Awesome SOC
文档来源和领域最佳实践的集合,用于构建和运行SOC(包括CSIRT)。
这些是基于我作为SOC/CSIRT分析师和团队经理的个人经验,以及一些著名论文所提出的观点。重点更多在SOC而非CERT/CSIRT。
我的座右铭是:没有反应(应对),检测就毫无用处。
注意:一般来说,这里提到的SOC指的是检测活动,而CERT/CSIRT指的是事件响应活动。CERT是一个知名的(以前是)美国商标,由CERT-CC运行,但我更喜欢使用CSIRT这个术语,因为它明确指事件响应。
目录
必须阅读
对于SOC
- SOC构建:
- MITRE,世界一流SOC的11个策略(或使用本地文件):第0部分(基础)。
- FIRST,建设SOC
- NCSC,建设SOC
- Gartner,SOC模型指南
- Splunk,2023年安全状况
- Microsoft,使用365保护您的业务
- SOC培训/面试:
- LetsDefend SOC分析师面试问题
- SOC管理:
- FIRST,ISO 27035对CSIRT和SOC的实际价值
- SOC评估:
对于CERT/CSIRT
- CSIRT构建:
- FIRST,CERT-in-a-box
- FIRST,CSIRT服务框架
- 安全事件响应管理:
- ENISA,事件管理的良好实践
- EE-ISAC 事件响应白皮书
- LinkedIn Pulse,根据ISO 27005的安全事件管理
- Microsoft/EY/Edelman,事件响应参考指南
- Microsoft,云身份妥协的IR教训
- 取证:
- 事件响应剧本:
- 卡巴斯基,事件响应剧本:黑暗网络入侵
- SANS,IR缓解任务
全局(SOC和CERT/CSIRT)
- 术语和概念:
- Shubham,安全360
- Vilius Benetis,CSIRT、SOC、ISAC和PSIRT定义
- Thomas Roccia,视觉威胁情报
- SentinelOne,什么是SecOps
- Purp1eW0lf,蓝队笔记
- PAN,傻瓜版安全编排
- ThreatConnect,SIRP / SOA / TIP的好处
- SOC/CSIRT流程:
- NIST,SP800-61 rev3,事件处理指南
- CSIRT构建:
- ENISA,如何设立CSIRT和SOC
- 框架和材料:
- 安全能力映射:
- CTID,映射探索工具
- 威胁矩阵:
- Push Security,SaaS攻击矩阵
- Microsoft,Azure存储服务威胁矩阵
- MITRE,AI系统的威胁矩阵
- SOAR解决方案:
- Swimlane,2023年网络威胁准备报告;
- Gartner,安全编排、自动化和响应解决方案市场指南
- NIS2:
- NIS2指令:NIS2的10个主要要求
- LinkedIn:NIS2将如何影响您的组织?
- CyberArk:NIS2,如何解决安全控制差距
- 管理:
- Gartner,网络安全业务价值基准
- Forrester,自动化SecOps工作流程的最佳实践
- Microsoft,「最初的触发事件是一次分布式拒绝服务(DDoS)攻击……初步调查表明我们的防御实施中的一个错误放大了攻击的影响而不是减轻了它」](https://www.bbc.com/news/articles/c903e793w74o)
基本概念
概念、工具、任务、攻击生命周期、红队/蓝队/紫队
MITRE参考:
- 世界一流SOC的11个策略,策略5:优先考虑事件响应,第101-123页,
通过定义事件类别、响应步骤和升级路径,并将其编入SOP和剧本,为处理事件做好准备。确定组织事件的优先级,并分配资源进行响应。执行响应时要精确和谨慎,考虑利益相关者的使命和业务。
专用页面
参见:SOC/CSIRT基本和基础概念。
SOC核心
MITRE参考:
- 世界级SOC的11种策略,策略8:利用工具支持分析师工作流程,第101-123页,
统一和协调工具和数据的视图,并将它们整合以最大化SOC工作流程。考虑众多SOC工具(包括SIEM、UEBA、SOAR等)如何适应组织的技术环境,包括云和OT环境。
从日志到警报:全球通用工作流程
引用自这篇文章:
沿着箭头,我们从日志数据源到数据管理层,再到数据增强层(检测发生的地方),最终到达行为分析或用户交互层(警报、威胁狩猎……)。这一切都由自动化技术支持和实现。
SOC检测架构
基于CYRAIL的图纸(略有修改),这是一个检测架构(SIEM、SIRP、TIP互联互通)和工作流程的示例:
- 传感器日志来源可能包括:审计日志、安全传感器(反恶意软件、FW、NIDS、代理、EDR、NDR、CASB、身份威胁检测、蜜罐……)。
关键任务手段(工具/传感器)
MITRE参考
- 世界级SOC的11种策略,策略7:选择和收集合适的数据,第101-123页,
选择数据时,考虑不同数据类型(如由网络和主机系统、云资源、应用程序和传感器收集的传感器和日志数据)的相对价值。考虑数据过少(因此没有相关信息)与数据过多(工具和分析师承受过重负担)的权衡。
SOC/CSIRT的重要工具
- SIEM:
- SIRP:
- SOA:
- 我建议阅读SoftwareReview的SOAR数据象限奖
- 解决方案示例:IBM Resilient,SwimLane,TheHive,PAN Cortex XSOAR,Microsoft Logic Apps
- 我的推荐:SwimLane,TheHive,PAN Cortex XSOAR
- TIP:
- 参见威胁情报页面
SOC的重要传感器
- 反恶意软件/杀毒软件(你可能想看看我的杀毒软件与EDR比较):
- 终端检测与响应:
- 安全电子邮件网关 (SEG):
- 安全Web网关 (SWG) / 安全服务边缘:
- 身份威胁检测与响应(ITDR)用于身份和AD/AAD安全(审计日志或特定的安全监控解决方案):
- 我的推荐:Semperis Directory Services Protector
- 对于一次性的AD和Enta ID安全评估,我推荐:Semperis Purple Knight或PingCastle
- EASM:外部资产安全监控/外部攻击面管理:
- 我的推荐:Intrinsec (法语),Mandiant,Qualys EASM
- 安全检查:
- 快速网站安全评估:ImmuniWeb
- AWS/Azure/GCP安全评估(社区工具):ScootSuite
- CASB:云访问安全代理,如果公司的IT环境使用了大量的外部服务,例如SaaS/IaaS的情况:
- 查看Gartner魔力象限
- 我的推荐:Microsoft MCAS,Zscaler,Netskope
- 欺骗技术:
CSIRT关键工具
- 妥协评估工具:
- 我个人推荐:
- 付费工具:
- 免费工具:
- 对于Linux:
- 对于Windows:
- 简单但有效的ESET Sysinspector;
- Velociraptor;
- DFIR-ORC;
- Sysmon(安装后运行几小时/天后再调查其日志),以及Olaf Hartong的配置;
- 对于AD:
- 对于 MS Entra ID & M365:
- 对于 Azure / GCP / AWS:
- 我个人推荐:
- 按需易失性数据收集工具:
- 我个人推荐:FastIR,VARC,FireEye Redline,DFIR-ORC;
- 远程操作能力工具(即远程shell或等同工具):
- 我个人推荐:CIMSweep,Velociraptor,CrowdStrike Falcon Toolkit但依赖于CrowdStrike EDR,GRR但需要安装代理。
- 按需沙箱:
- 我个人推荐在线沙箱:Joe's sandbox,Hybrid Analysis,等等;
- 本地沙箱推荐:Windows 10原生沙箱,自动化工具。
- 取证和反向工程工具套件:
- 我个人推荐:SIFT Workstation,或者 Tsurugi;
- 对于Windows下的反向工程和恶意软件分析,我推荐:FireEye Flare-VM;
- 对于 Linux 下的纯恶意软件分析,我推荐:Remnux;
- 事件管理跟踪器:
- 我个人推荐:Timesketch,DFIR IRIS
- 扫描器:
- IOC扫描器:
- 我个人推荐:Loki,DFIR-ORC
- 对于智能手机:Tiny Check
- IOC 扫描器仓库:
- Google CTI的仓库:关于Cobalt Strike等的Yara规则。
- Yara-rules GitHub仓库:多个Yara规则类型。
- Spectre Yara规则仓库
- Neo23x0 社区Yara规则
- 以及此处列出的一些,Awesome threat intel
- 离线反恶意软件扫描器:
- IOC扫描器:
- 具备检测功能的日志分析工具:
- 我个人推荐:CrowdSec,Sekoia XDR,DeepBlue
SOC和CERT/CSIRT其它关键工具
- 安全加密共享:
- (OneTimeSecret)[https://onetimesecret.com/]
- 数据分析工具:
- 管理工具:
- 我个人推荐(免费的管理工具):Azure AD Internals suite,SysInternals Suite,MRemoteNG
- 我个人推荐(免费的远程部署工具):EMCO Remote installer
- 内部工单系统(注:不是 SIRP,不用于事件响应!):
- 我个人推荐:GitLab
- 知识共享和管理工具:
- 我个人推荐:Microsoft SharePoint,Wiki(选择你喜欢的,或使用 GitLab 作为Wiki)
- 用于OSINT搜索和IOC的可视化工具:
- 我个人推荐:OSINTracker
IT/安全监控
MITRE参考
- 打造世界级SOC的11个策略,策略6:通过网络威胁情报照亮对手,第101-123页,
通过分析对手信息、组织相关性和技术环境的交集,量身定制网络威胁情报的收集和使用,以优先考虑防御、监控和其他行动。
推荐来源
- SIEM规则发布:
- 已知被利用的漏洞+0day:
- LinkedIn / Twitter:
- RSS阅读器/门户:
- 例如:Netvibes
- 政府CERT、行业相关CERT...
- 新闻简报:
- 其他有趣的网站:
- 例如:ISC,ENISA,ThreatPost ...
SOAR
MITRE参考
- 打造世界级SOC的11个策略,策略8:利用工具支持分析员工作流程,第101-123页,
整合和协调工具和数据视图,并将它们集成以最大化SOC工作流程。考虑包括SIEM、UEBA、SOAR等多个SOC工具如何适应组织的技术环境,包括云和OT环境。
专页
参考SOAR页面
检测工程
MITRE参考
- 打造世界级SOC的11个策略,策略1:知道保护的是什么以及为什么,第101-123页,
通过了解任务、法律法规环境、技术和数据环境、用户、用户行为和服务交互以及威胁来发展态势感知。优先获得对关键系统和数据的见解,并随着时间的推移迭代理解。
- 打造世界级SOC的11个策略,策略7:选择和收集正确的数据,第101-123页,
通过考虑由网络和主机系统、云资源、应用程序和传感器收集的传感器和日志数据等不同数据类型的相对价值来选择数据。权衡数据不足以获取相关信息和数据过多以至于工具和分析师不堪重负。
- 打造世界级SOC的11个策略,策略11:通过扩展SOC功能而提升运作能力,第101-123页,
在事件响应成熟后,增强SOC活动,包括威胁狩猎、红队作战、欺骗、恶意软件分析、取证和/或桌面演练。任何一项都可以提高SOC的运行能力,并增加发现更复杂对手的可能性。
专页
参考检测工程页面。
威胁情报
MITRE参考
- 打造世界级SOC的11个策略,策略6:通过网络威胁情报照亮对手,第101-123页,
通过分析对手信息、组织相关性和技术环境的交集,量身定制网络威胁情报的收集和使用,以优先考虑防御、监控和其他行动。
专页
参考威胁情报页面。
管理
MITRE参考
- 世界级SOC的11个策略,策略1:了解你要保护的内容及原因,第101-123页
通过了解任务、法律监管环境、技术和数据环境、用户、用户行为和服务交互以及威胁,发展情境意识。优先获取对关键系统和数据的洞察,并随着时间的推移迭代理解。
- 世界级SOC的11个策略,策略3:建立符合组织需求的SOC结构,第101-123页
通过考虑选民、SOC功能和责任、服务可用性以及选择一种构造而获得的任何操作效率,分结构构建SOC。
- 世界级SOC的11个策略,策略9:清晰沟通,频繁合作,慷慨分享,第101-123页
在SOC内、与利益相关者和选民以及与更广泛的网络社区进行互动,以发展能力并为更广泛社区的整体安全做出贡献。
- 世界级SOC的11个策略,策略10:通过测量绩效来提高绩效,第101-123页
确定定性和定量的衡量标准,以了解哪些工作良好,哪些需要改进。一个SOC度量计划包括业务目标、数据源和数据收集、数据合成、报告、决策和行动。
- 世界级SOC的11个策略,策略11:通过扩展SOC功能来提高音量,第101-123页
一旦事件响应成熟,增加威胁猎杀、红队测试、欺骗、恶意软件分析、取证和/或桌面演习等SOC活动。任何这些都可以提高SOC的运营能力,并增加发现更复杂对手的可能性。
专用页面
参见管理页面。
人力资源和培训
MITRE参考
- 世界级SOC的11个策略,策略4:招聘和培养高质量人员,第101-123页
创建一个环境,以吸引合适的人并通过职业成长机会和出色的文化及运营环境鼓励他们留下来。规划人员流动并建立招聘管道。考虑不同SOC功能所需的人员数量。
专用页面
参见人力资源和培训页面。
SOC的IT架构
拥有单一和集中的平台(“单一控制台”)
根据NCSC网站:
攻击迹象很少是单一系统组件或系统上的孤立事件。因此,尽可能在一个平台上拥有分析师能够查看和查询所有集成系统的日志数据是非常宝贵的。 访问多个(或所有)组件的日志数据,使分析师能够在整个区域内寻找攻击证据,并创建利用多种来源的检测用例。 通过创建时间(在一段时间内的行动)和空间(整个区域内的行动)用例,组织能够更好地应对系统范围内发生的网络攻击。
尽可能将SOC与监控环境断开连接
目标是防止攻击者从被破坏的监控区域横向移动到SOC/CSIRT工作区。
隔离区:
-
实施SOC隔离区(带有网络隔离),如MITRE文档图所示:
-
只有日志收集器和WEF应被授权向SOC/CSIRT隔离区发送数据。尽可能地,SOC工具应从监控环境中拉取数据,而不是相反;
-
除了SOC隔离区,还至少实施网络分段的第二级;
SOC的资产应属于一个单独的受限AD林,从而允许与其余监控的AD域进行AD隔离。
终端加固:
进一步阅读
必读
- MITRE,世界级SOC的11个策略(PDF剩余部分)
- CISA,网络防御事件响应者角色
- FireEye,紫队评估
- 卡巴斯基,AV / EP / EPP / EDR / XDR
- Wavestone,安全堡垒(PAM)与Active Directory分层模式:如何调和这两种范式?
- MalAPI,Windows API及其在攻击安全中的潜在用途清单
- FireEye,OpenIOC格式
- Herman Slatman,优秀的威胁情报
- 微软,SOC/IR需求层次
- Betaalvereniging,TaHiTI(威胁猎杀方法论)
- ANSSI(法国),EBIOS RM方法论
- GMU,提高网络安全事件响应团队的社会成熟度
- J0hnbX,红队资源
- Fabacab,优秀的网络安全蓝队
- 微软,Windows 10和Windows Server 2016安全审计和监控参考
- iDNA,如何在SOC中管理误报?(法语)
- Soufiane Tahiri,勒索软件事件响应手册(法语)
- PwnDefend,AD事后检查清单
- Gartner,NDR市场指南
- Rawsec,资源清单
- Quest,AD灾难恢复的最佳实践
- 微软,使用组策略隔离Tier 0资产
- Securenvoy,如何符合NIS2的要求?
- CyberVigilance,2022年Mitre Engenuity评估回顾
阅读推荐
- NIST,SP800-53 rev5(信息系统和组织的安全与隐私控制)
- Amazon,AWS安全基础
- Microsoft,PAW 微软
- CIS,业务影响评估
- Abdessabour Boukari,RACI模板(法语)
- Trellix,XDR Gartner市场指南
- Elastic,BEATS代理
- V1D1AN's Drawing:检测架构
- RFC2350(CERT描述)
- Awesome Security Resources
- 事件响应与计算机取证,第3版
- GDPR网络安全影响(法语)
- SANS SOC调查2022
- Soufiane Tahiri,数字取证事件响应Git
- Austin Songer,事件手册
- CISA,网络安全事件和漏洞响应手册
- Reprise99,微软Sentinel查询
- MyFaberSecurity,MSSP的MS Sentinel架构和建议
- Gartner,PAM魔力象限重印
- Rawsec,工具清单
- Microsoft,命令行参考
- Microsoft,Sentinel数据收集场景
- SOC CMM,SOCTOM
- PTES
- OWASP,WSTG
- BitDefender,分析 MITRE ATT&CK 评估2023
- Microsoft,许可地图,例如Defender
SOC 传感器,推荐
- 暗网监控(数据泄露等)
- 面向互联网的WAF:
- 我的推荐:
- FOSS: Crowdsec WAF,Bunkerweb
- 付费但性价比高: CloudFlare
- 我的推荐:
- (全功能)蜜罐:
- 我的推荐: Canary.tools
- 或者看看这个Awesome honeypots Git
- 网络钓鱼和品牌侵权保护(域名):
- NIDS:
- 我的推荐: Crowdsec
- NDR:
- 我的推荐: Gatewatcher
- MDM:
- 我的推荐: Microsoft Intune
- DLP:
- OT(工业)NIDS:
- 我的推荐: Nozomi Guardian
- 网络TAP:
- 我的推荐: Gigamon
- 移动网络安全(2G/3G):
- 我的推荐: Dust Mobile.
加固SOC/CSIRT环境
- 对SOC工作站、服务器和使用的IT服务实施硬化措施(如果可能)。
- 将SOC资产放在单独的AD林中,因为林是AD的安全边界,以实现隔离,以防企业整体IT被攻破。
- 为SOC资产和资源创建/提供灾难恢复计划。
- 实施管理员堡垒和隔离区,以管理SOC环境(设备、服务器、终端):
- 我的建议: 如果可能,考虑将SOC环境视为由Tier 1管理,最好使用专用的管理员堡垒。 这是来自Wavestone文章的一个通用图:
- 推荐技术选择: Wallix PAM
- 实施网络分段的第3级
- 您可能要使用一次性机器(虚拟机)进行事件响应或特定工件分析。以下是我的推荐:
附录
许可
特别感谢
Yann F., Wojtek S., Nicolas R., Clément G., Alexandre C., Jean B., Frédérique B., Pierre d'H., Julien C., Hamdi C., Fabien L., Michel de C., Gilles B., Olivier R., Jean-François L., Fabrice M., Pascal R., Florian S., Maxime P., Pascal L., Jérémy d'A., Olivier C. x2, David G., Guillaume D., Patrick C., Lesley K., Gérald G., Jean-Baptiste V., Antoine C.