成功的SOC具备哪些能力
安全运营中心(SOC,Security Operations Center)传统上一直是企业集中办公的地方,把安全人员、关键技术和所需的数据统一放在一个地方,以提高安全性和合规能力。成功的SOC能够提高企业的事件检测和响应能力,同时促进和巩固其安全措施。 成功的SOC是由包含了自适应响应框架的智能架构驱动的,那么,以分析为驱动的SOC应具备什么样的能力呢?Gartner认为应该是以下五种能力: 威胁情报 高级分析 自动化 主动搜索和调查 采用自适应安全架构 先来谈谈自适应安全架构,基于Gartner的定义,它应该是“核心基于连续监测和分析,并提供可整合智能驱动的SOC方案所需人员、流程和技术的组织原则。” 既然如此,Splunk的客户是怎样成功使用Splunk Enterprise Security(ES)构建由分析驱动的SOC呢? Splunk的响应 Splunk Enterprise Security(ES)是安全信息事件管理(SIEM)解决方案,帮助SOC团队进行深度分析,快速探测并响应内外部攻击威胁,通过简化威胁管理来降低风险,在整个企业范围内实现连续监测、应急响应和SOC运营...
