security-operations

# 安全运营与事件响应 ## 安全运营中心 (SOC) ### SOC 结构 一级：警报分流 (L1 分析师) ├─ 监控 SIEM 仪表板和安全警报 ├─ 执行初步分流和分类 ├─ 将确认的事件升级至二级 ├─ 在工单系统中记录所有活动 └─ 响应时间：关键警报 15 分钟 二级：事件调查 (L2 分析师) ├─ 对升级的事件进行深度调查 ├─ 控制威胁并执行取证分析 ├─ 与 IT 团队协调进行补救 ├─ 将复杂威胁升级至三级 └─ 响应时间：关键事件 1 小时 三级：威胁狩猎与高级分析 (L3 分析师) ├─ 主动威胁狩猎 ├─ 高级取证和恶意软件分析 ├─ 创建自定义检测规则 ├─ 研究新兴威胁 └─ 指导初级分析师 SOC 经理 ├─ 监督 SOC 运营 ├─ 管理团队绩效和培训 ├─ 向领导层报告指标 ├─ 与其他部门协调 └─ 预算和资源规划 ### SIEM 配置 **需摄入的日志源**： 关键优先级 (实时)： ├─ 防火墙日志 (允许/拒绝，连接) ├─ IDS/IPS 警报 ├─ EDR/杀毒软件警报 ├─ 身份验证日志 (成功与失败) ├─ VPN 连接 ├─ 特权账户活动 └─ 数据库访问日志 (针对敏感数据) 高优先级 (近实时，延迟 <5 分钟)： ├─ Web 应用日志 (访问，错误) ├─ 云基础设施日志 (AWS CloudTrail, Azure Activity) ├─ 电子邮件网关日志 (垃圾邮件，恶意软件检测) ├─ DLP 警报 └─ 文件完整性监控 中优先级 (延迟 15-30 分钟)： ├─ 应用程序日志 ├─ DNS 查询日志 ├─ 代理日志 ├─ 网络流数据 (NetFlow/IPFIX) └─ 补丁管理日志 低优先级 (每小时或每天)： ├─ 备份日志 ├─ 系统性能指标 └─ 非安全类应用程序日志 **核心 SIEM 用例**： yaml # 1. 暴力破解攻击检测 use_case: "检测暴力破解登录尝试" data_sources: - Windows 安全事件日志 (事件 ID 4625) - Linux 认证日志 - VPN 日志 - 应用程序身份验证日志 detection_logic: | 超过 10 次失败的登录尝试 来自同一源 IP 针对同一用户账户 在 5 分钟窗口内 actions: - 警报：高严重性 - 封禁源 IP (通过防火墙集成自动执行) - 通知账户所有者 - 创建事件工单 # 2. 异常特权账户活动 use_case: "检测异常管理员账户使用" data_sources: - Active