SolarSecurity Nov 2 2017 at 12:58

SOC for beginners. Задачи SOC: контроль защищенности

8 min

14K

Солар corporate blogInformation Security*IT Infrastructure*SaaS / S+S*

+26

Comments 4

lostpassword Nov 3 2017 at 14:45

SOC должен детально понимать инфраструктуру компании

На мой взгляд, самая сложная задача. Практически недостижимая.
Если у компании больше пяти-десяти тысяч хостов и обширная география, проблематично опуститься глубже разбиения на подсети и отдалённого, очень приблизительного, понимания, для чего они нужны.

SolarSecurity Nov 3 2017 at 15:24

Вы абсолютно правы, задача действительно очень сложная, но, как правило, детализация нужна вокруг критичных систем и данных, там важны нюансы. А общие пользовательские сети для оценки защищенности зачастую достаточно описать в «крупную клетку». Именно поэтому мы рекомендуем начинать с общего описания (филиал такой-то, dmz в ИА, VPN-пул, сеть АРМ КБР). Все остальное по мере возникновения инцидентов попадает в условную зону Unknown, и в момент анализа инцидента заодно уточняется информация.

lostpassword Nov 3 2017 at 17:11

А что используете для хранения информации об IP-адресах и диапазонах?

SolarSecurity Nov 4 2017 at 12:20

Стандартный функционал ArcSight – сетевая модель. Расширенная информация (описания, критичности и прочее) вынесена в ActiveList.

Пример: