重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
一、安全洋葱控制台(SOC)
成都创新互联专业为企业提供新吴网站建设、新吴做网站、新吴网站设计、新吴网站制作等企业网站建设、网页设计与制作、新吴企业网站模板建站服务,十多年新吴做网站经验,不只是建网站,更提供有价值的思路和整体网络服务。
一旦你运行了so-allow和允许你的IP地址,你就可以用你的web浏览器连接到安全洋葱控制台(SOC)。我们推荐chromium 或基于chromium 的浏览器,如谷歌Chrome。其他浏览器可能也能工作,但基于chrome的浏览器提供了最好的兼容性。
根据您在安装程序中选择的选项,连接到您的安全洋葱安装的IP地址或主机名。然后使用您在安装程序中指定的电子邮件地址和密码登录。
登录后,你会在左侧看到一些分析工具的链接,比如Alerts、Hunt、PCAP、Kibana、CyberChef、Playbook、TheHive和ATTCK Navigator。虽然警报、Hunt和PCAP是SOC本身的原生工具,但是其余的工具都是外部的,并且会产生单独的浏览器标签。
SOC使您能够访问各种工具,它们都可以很好地相互补充。例如,这里有一个潜在的工作流:
(1)检查Grafana,确保你的系统是健康的。
(2)进入警报页面并查看未确认的警报。
(3)一旦发现了需要调查的警告,可能需要扩展搜索并查找与源和目标IP地址相关的其他日志,因此pivot可以搜索更多信息。如果这些附加日志中的任何一个看起来很有趣,那么您可能希望转向PCAP,以查看该流的完整包捕获。
(4)向Thehive发送警报,并记录上一步发现的任何IOC指标。
(5)去fleet和执行那些IOCs跨所有osquery端点更广泛的搜索。
(6)使用CyberChef进一步分析和解码其他主机工件。
(7)开发一个在playbook,将自动向前告警IOC和更新您的覆盖率ATTCK导航器。
(8)最后,返回thehive和文件的整个调查和结束案件。
二、告警
安全洋葱控制台(SOC)让您访问我们新的告警界面。这个界面给你一个告警的概述,安全洋葱正在生成,并允许你快速深入细节,pivot到hunt或PCAP,并逐步升级警报到thehive。
2.1 切换toggle
页面顶部必须有确认和升级切换:
(1)启用确认切换将只显示之前已被分析师确认的警报。
(2)启用升级切换将只显示之前由分析师升级到thehive的警报。
2.2查询栏
查询栏默认为按名称分组,模块按rule.name和event.module对警报进行分组。如果您想将您当前的告警查询发送到Hunt,您可以点击查询栏右边的十字瞄准图标。
在查询栏下,您会注意到彩色的气泡,它们表示查询的各个组件和要分组的字段。如果您想删除部分查询,您可以单击相应的气泡删除它并运行新的搜索。
您可以单击下拉框选择其他查询,这些查询将按其他字段分组。
2.3时间选择器
默认情况下,Alerts搜索最近24小时。如果您想要搜索一个不同的时间段,您可以在屏幕的右上角更改它。
2.4数据表
页面的其余部分是一个数据表,从分组视图开始,可以切换到详细视图。这两种视图有一些共同的功能:
(1)单击表标头可以按升序或降序排序。
(2)单击bell图标确认一个警报。然后,通过选择页面顶部的确认切换按钮,就可以看到该警报。在确认视图中,单击铃铛图标将删除确认。
(3)单击蓝色感叹号图标将警报升级到hive并创建一个case。这个案例可以在蜂巢界面中看到。如果您需要在警告页面中找到原来的升级警报,您可以启用升级切换(它也将自动启用确认切换)。
(4)单击表中的一个值将显示该值的操作菜单。左边的正负放大镜图标允许您(分别)在查询中包括或排除这些值。如果存在,向下箭头图标允许您钻取该值(下一节将详细介绍该值)。groupby图标允许将特定字段作为groupby添加到查询中。在狩猎中,十字准星图标开始了新的价值搜索。动作菜单右侧末端的G和VT(分别)查找谷歌和VirusTotal上的值。
(5)您可以在右下角调整每页的行设置,并使用左右箭头图标在表格中分页。
分组的视图
默认情况下,警报是根据查询栏中选择的任何条件进行分组的。单击字段值,然后单击向下箭头图标,允许您向下钻取该值,该值将切换到详细视图。
详细视图
如果单击分组视图中的一个值,然后单击快速工具条上的向下箭头图标,它将向下钻取到详细视图。这将显示所有搜索结果,并允许您根据需要钻取单个搜索结果。单击表标头可以按升序或降序排序。从每一行的左边开始,有一个箭头,它将展开结果以显示其所有字段。箭头的右边是时间戳字段。接下来,将显示几个标准字段:rule.name、event.severity_label、source.ip、source.port、destination.ip和destination.port。根据您正在查看的数据类型,可能还会有一些其他特定于数据的字段。
当您单击向下箭头以展开Events表中的一行时,它将显示该事件的所有单独字段。字段名称显示在左侧,字段值显示在右侧。在查看字段名称时,左侧有一个图标,它将把该字段添加到查询的groupby部分。您可以单击右边的值弹出动作菜单,以优化搜索或转向其他页面。
三、狩猎
安全洋葱控制台(SOC)让您访问我们的新狩猎接口。该界面允许您在Elasticsearch中搜索所有数据,并对叠加、下钻、数据扩展和数据缩减进行了高度优化。
3.1自动狩猎
页面的顶部有一个自动搜索的开关,默认是启用的。启用后,当您更改过滤器、分组或日期范围时,Hunt将自动提交您的查询。
3.2查询栏
最简单的入门方法是单击query下拉框并选择预定义的查询之一。这些预定义的查询涵盖了您在安全洋葱部署中可能看到的大多数主要数据类型:来自Suricata的NIDS警报、来自Wazuh的HIDS警报、来自Zeek或Suricata的协议元数据日志、端点日志和防火墙日志。下拉列表中的每个条目都将显示实际的查询,然后是查询功能的描述。
3.3时间选择器
默认情况下,Hunt搜索最近24小时。如果您想要搜索一个不同的时间段,您可以在屏幕的右上角更改它。您可以使用默认的相对时间或单击时钟图标更改为绝对时间。
3.4可视化
输出的第一部分包含“最多发生可视化”、“时间轴可视化”和“最少发生可视化”。柱状图是可单击的,因此您可以单击一个值来更新您的搜索条件。聚合默认为10个值,所以最多出现在前10个值,最少出现在后10个值(长尾)。聚合值的数量由Group Metrics部分中的获取限制设置控制。
3.5组指标
输出的中间部分是Group Metrics部分,它是一个数据表,允许您堆叠(聚合)任意字段。组指标由搜索栏中的groupby参数控制。单击表标头可以按升序或降序排序。
单击Group Metrics表中的一个值,将弹出针对该值的操作菜单。左边的正负放大镜图标允许您(分别)在查询中包括或排除这些值。第三个放大镜仅对值本身启动一个新的查询。动作菜单右侧末端的G和VT(分别)查找谷歌和VirusTotal上的值。
Group Metrics表的默认取值限制是10。如果需要查看前10个以上的数据,可以增加获取限制,然后使用左右箭头图标对输出进行分页,或者增加每页的行设置。
3.6事件
输出的第三部分也是最后一部分是一个数据表,其中包含所有搜索结果,并允许您根据需要钻取单个搜索结果。单击表标头可以按升序或降序排序。从每一行的左边开始,有一个箭头,它将展开结果以显示其所有字段。箭头的右边是时间戳字段。接下来,将显示几个标准字段:source.ip、source.port、destination.ip、destination.port、log.id.uid(Zeek唯一标识符),network点抗 munity_id(社区ID),和event.dataset。根据您正在查看的数据类型,可能还会有一些其他特定于数据的字段。
单击Events表中的一个值将显示该值的操作菜单。左边的正负放大镜图标允许您(分别)在查询中包括或排除这些值。第三个放大镜仅对值本身启动一个新的查询。第四个图标将带您进入流的pcap。第五个图标(bell)为该事件创建一个警报。动作菜单右侧末端的G和VT(分别)查找谷歌和VirusTotal上的值。
Events表的默认取值限制是100。如果需要查看超过100个事件,可以增加获取限制,然后使用左右箭头图标对输出进行分页,或者增加每页的行设置。
当您单击向下箭头以展开Events表中的一行时,它将显示该事件的所有单独字段。字段名称显示在左侧,字段值显示在右侧。在查看字段名称时,左侧有一个图标,它将把该字段添加到查询的groupby部分。您可以单击右边的值弹出动作菜单,以优化搜索或转向其他页面。
3.7统计数据
页面的左下角显示了关于当前查询的统计信息,包括后端数据获取的速度和总往返时间。
3.8OQL
洋葱查询语言(OQL)以标准的Lucene查询语法开始,然后允许你添加可选的片段来控制Hunt对查询结果做什么。groupby段告诉Hunt按(聚合)特定字段分组。因此,例如,如果希望按目的地IP地址进行分组,可以将| groupby destination- IP添加到搜索中(假设它还没有groupby语句)。groupby段支持多个聚合,因此您可以添加需要分组的更多字段,并用空格分隔这些字段。例如,要按目的地IP地址和目的地端口进行分组,可以使用| groupby destination.IP destinaion.port。
SOC(Security Operations Center)是一个外来词。而在国外,SOC这个词则来自于NOC(NetworkOperation Center,即网络运行中心)。NOC强调对客户网络进行集中化、全方位的监控、分析与响应,实现体系化的网络运行维护。
随着信息安全问题的日益突出,安全管理理论与技术的不断发展,需要从安全的角度去管理整个网络和系统,而传统的NOC在这方面缺少技术支撑,于是,出现了SOC的概念。不过,至今国外都没有形成统一的SOC的定义。维基百科也只有基本的介绍:SOC(SecurityOperationsCenter)是组织中的一个集中单元,在整个组织和技术的高度处理各类安全问题。SOC具有一个集中化的办公地点,有固定的运维管理人员。国外各个安全厂商和服务提供商对SOC的理解也差异明显。 为了不断应对新的安全挑战,企业和组织先后部署了防火墙、UTM、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统,等等,构建起了一道道安全防线。然而,这些安全防线都仅仅抵御来自某个方面的安全威胁,形成了一个个“安全防御孤岛”,无法产生协同效应。更为严重地,这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件,形成了大量“信息孤岛”,有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作效率极低,难以发现真正的安全隐患。另一方面,企业和组织日益迫切的信息系统审计和内控要求、等级保护要求,以及不断增强的业务持续性需求,也对客户提出了严峻的挑战。
针对上述不断突出的客户需求,从2000年开始,国内外陆续推出了SOC(Security Operations Center)产品。目前国内的SOC产品也称为安全管理平台,由于受到国内安全需求的影响,具有很强的中国特色。 一般地,SOC被定义为:以资产为核心,,特指以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件及风险分析,预警管理,应急响应的集中安全管理系统。
SOC是一个复杂的系统,他既有产品,又有服务,还有运维(运营),SOC是技术、流程和人的有机结合。SOC产品是SOC系统的技术支撑平台,这是SOC产品的价值所在,我们既不能夸大SOC产品的作用,也不能低估他的意义。这就好比一把好的扫帚并不意味着你就天然拥有干净的屋子,还需要有人用它去打扫房间。
信息安全产业的地位
如果我们把信息安全产业分为产品和服务两个部分,那么SOC产品位于信息安全产品市场金字塔的顶端。
SOC产品是所有安全产品的集大成者。SOC产品不是取代原有的安全产品,而是在这些安全产品之上,面向客户,从业务的角度构建了一个一体化的安全管理运行的技术集成平台。
信息安全产业是一个极速发展变化的产业,SOC的内涵和外延也会不断的更新,但是SOC产品在整个信息安全产品结构中的顶层地位始终不会改变。 如前所述,国外的SOC并没有明确的定义,其发展轨迹可以从产品和服务两个维度来看。
(1)SOC产品
国外鲜见以SOC命名的产品, SOC更多地是与服务挂钩的。国外产品厂商使用了SIEM(Security Information and Event Management,安全信息与事件管理)这个词来代表SOC产品,以示产品与服务的区隔。
必须指出的是,SIEM产品与我们理解的SOC产品是有区别的,SIEM产品是SOC的核心产品,但不是全部。
根据Gartner2008年关于信息安全的Hype Cycle曲线分析显示,全球安全管理平台市场趋于成熟,还有不到两年(从2009年开始计算)就将成为业界主流产品。Gartner公司2009年安全信息和事件管理(SIEM)幻方图显示,全球SIEM市场在2008年增长了30%,整体收入达到了约10亿美元。
(2)SOC服务
SOC服务是指MSSP(Managed Security Service Provider,可管理安全服务提供商)以SOC为技术支撑为客户提供安全服务。这里,客户感受到的只是安全服务,而非SOC本身。
从SOC发展至今,国外更多地将SOC与服务联系在了一起,这与国外(主要是欧美)信息安全发展的水平和客户对安全的认知水平有密切关系。
根据Gartner公司《2008年下半年北美MSSP幻方图》显示, 北美市场2007年的营收大约是5.7亿美元,预计在2008年全年会有15%的增长。 SOC这个概念,自传入中国起,就深深的烙下了中国特色。由于信息安全产业和需求的特殊性使然,由于中国网络与安全管理理念、制度、体系、机制的落后使然。
中国SOC的引入和发展与国外的情况有一个很大的不同,就是国内在提出SOC的时候,除了电信、移动、民航、金融等高度信息化的单位,大部分企业和组织连NOC都没有建立起来。于是,国内SOC的发展依据行业的不同出现了截然不同的发展轨迹。电信、移动、民航、金融等单位较早的建立了NOC,对SOC的认识过程与国外基本保持一致。其他企业和组织则对SOC认识模糊,从而更加讲求实效。这两类客户对于SOC的需求和期望是截然不同的,后者在需求的广度上超过了前者,因而用电信、移动、金融领域的SOC反而难以满足政府等企事业单位客户的需求。
SOC在国内也有两个发展维度,产品和服务。
(1)SOC产品
在国内,一般把SOC产品称为安全管理平台,但是,公安部的《安全管理平台产品检测规范》并没有真正涵盖SOC的全部内容。国内的安全管理平台具有狭义和广义两个定义。
狭义上,安全管理平台重点是指对安全设备的集中管理,包括集中的运行状态监控、事件采集分析、安全策略下发。
而广义的安全管理平台则不仅针对安全设备进行管理,还要针对所有IT资源,甚至是业务系统进行集中的安全管理,包括对IT资源的运行监控、事件采集分析,还包括风险管理与运维等内容。这也是SOC的一般定义。
赛迪顾问(CCID Consulting)于2007年开始首次在其信息安全产品市场分析报告中对SOC产品进行分析。
(2)SOC服务
在国内,SOC服务始终处于萌芽状态,与国外的如火如荼形成了鲜明的对比。这是国内信息安全产业发展整体所处的阶段所致。
最后,无论SOC如何在国内发展,这个概念已经渐渐为业界所认同,也得到了客户的认可。随着国内信息安全水平的提升,信息安全产、学、研都纷纷加大了对它的关注度。
发展新阶段SOC2.0
随着客户业务的深化和行业需求的清晰,传统SOC理念和技术的局限性逐渐凸现出来,主要体现于三个方面:首先,在体系设计方面,传统SOC围绕资产进行功能设计,缺乏对业务的分析。其次,在技术支持方面,传统SOC缺少全面的业务安全信息收集。最后,在实施过程方面,传统SOC实施只考虑安全本身,没有关注客户业务。以资产为核心、缺乏业务视角的软肋使得传统SOC不能真正满足客户更深层次的需求。
对于用户而言,真正的安全不是简单的设备安全,而是指业务系统安全。IT资源本身的安全管理不是目标,核心需求是要保障IT资源所承载的业务的可用性、连续性、以及安全性,因为业务才是企业和组织的生命线。要保障业务安全,就要求为用户建立一套以业务为核心的管理体系,从业务的角度去看待IT资源的运行和安全。如果把传统的SOC称为SOC1.0,那么面向业务的SOC就可以称作SOC2.0。
SOC2.0的定义:SOC2.0是一个以业务为核心的、一体化的安全管理系统。SOC2.0从业务出发,通过业务需求分析、业务建模、面向业务的安全域和资产管理、业务连续性监控、业务价值分析、业务风险和影响性分析、业务可视化等各个环节,采用主动、被动相结合的方法采集来自企业和组织中构成业务系统的各种IT资源的安全信息,从业务的角度进行归一化、监控、分析、审计、报警、响应、存储和报告。SOC2.0以业务为核心,贯穿了信息安全管理系统建设生命周期从调研、部署、实施到运维的各个阶段。
SOC2.0的价值就在于确保IT可靠、安全地与客户业务战略一致,促使客户有效地利用信息资源,降低运营风险。 整体看来,SOC经历了一个从分散到集中,从以资产为核心到以业务核心的发展轨迹。随着中国安全建设水平的不断提升,安全管理的业务导向程度会越来越明显。
在信息安全建设的早期,更多地是部署各类安全设备和系统,逐渐形成了“安全防御孤岛”,导致了安全管理的成本急剧上升,而安全保障效率迅速下降。为此,出现了最早的安全管理系统,主要是实现对网络中分散的防火墙/VPN等设备的集中监控与策略下发,构建一个较为完整的边界安全统一防护体系。
随着对信息安全认识的不断深入,安全管理体系化思想逐渐成熟,出现了以信息系统资产为核心的全面安全监控、分析、响应系统——SOC1.0。SOC1.0以资产为主线,实现了较为全面的事件管理与处理流程,以及风险管理与运维流程。
SOC1.0的出现,提升了用户信息安全管理的水平,从而也对信息安全管理有了更高的期望,要求从客户业务的角度来进行安全管理的呼声日益增长,于是出现了面向业务的SOC2.0。SOC2.0继承和发展的传统SOC1.0的集中管理思想,将安全与业务融合,真正从客户业务价值的角度去进行一体化安全体系的建设。 展望未来,SOC的发展始终会沿着两个路径前进:产品和服务。
从产品的角度来看,从SOC1.0到SOC2.0,实现了业务与安全的融合,符合整个IT管理需求、技术的发展大势。下一步,将会不断涌现面向业务的SOC2.0产品。随着客户需求的日益突出、业务系统的日益复杂,越来越多的企业和组织会部署SOC系统。
从服务的角度看,SOC将成为MSSP(可管理安全服务提供商)的服务支撑平台,成为SaaS(软件即服务,安全即服务)的技术支撑平台,成为云计算、云安全的安全管理后台。所有用户体验到的安全服务都会由SOC来进行总体支撑。
一方面,SOC产品的业务理念和思路会渗透到SOC服务之中;另一方面,SOC服务水平与客户认知的提升也会促进SOC产品的发展与成熟。
绿源soc模块在控制器。根据查询相关公开信息显示,绿源soc模块安装在绿源电动车的车身控制器内测。绿源电动车创立于1997年,中国电动车产业创始者、电动车标准制定者,电动车核心技术与智能制造引领者。