【THM】SOC Fundamentals(SOC基础知识)-学习

本文相关的TryHackMe实验房间链接：https://tryhackme.com/r/room/socfundamentals

本文相关内容：了解 SOC 团队及其工作流程。

SOC简介

科技让我们的生活变得更加高效，但伴随着效率而来的是更多的责任。现代社会的担忧远非对实体资产的滥用。关键数据，即机密信息，不再存储在物理文件中。。组织在其网络和系统中存储着大量的机密数据。任何针对这些数据未经授权的破坏、丢失或修改都可能会给组织造成巨大的损失。威胁行为者每天都会发现并恶意利用这些在网络和系统中出现的新的漏洞，这已经成为网络安全的一个主要问题。传统的安全实践可能不足以阻止许多此类威胁。因此，组建一支完整的团队来专门负责管理组织的安全至关重要。

SOC(安全运营中心-Security Operations Center)是由专业安全团队运营的专用设施。该团队的目标是持续监控组织的网络和资源，并识别可疑的活动以阻止安全损害发生。SOC团队的工作时间是每天 24 小时、每周 7 天。

本文将深入探讨与SOC相关的一些关键概念，SOC是防御性安全中最重要的领域之一。

学习目标

为SOC(安全运营中心-Security Operations Center)建立基线；
SOC中的检测(Detection)和响应(response)；
SOC中的人员、流程和技术的作用；
完成与本文相关的模拟练习实践。

答题

SOC一词代表什么？

Security Operations Center (安全运营中心)

SOC的目的和组成部分

SOC团队的主要关注点是保持检测(Detection)和响应(Response)的完整性。 SOC团队拥有一些安全解决方案形式的可用资源，可以帮助他们实现这一目标。这些解决方案集成了整个公司的网络和所有的系统，以便从一个集中的位置对它们进行监控。SOC需要持续监控来检测和响应任何安全事件。

Detection(检测)

检测漏洞(Detect vulnerabilities)：漏洞是攻击者可以进行恶意利用来执行超出其权限级别的操作的缺陷。任何设备的软件(操作系统和程序)，例如服务器或计算机中都可能会被发现存在漏洞。例如， SOC可能会发现一组必须针对特定的、已发布的漏洞进行修补(打补丁)的MS Windows计算机。严格来说，漏洞不一定是SOC的责任；但是，未修复的漏洞会影响整个公司的安全水平。
检测未经授权的活动(Detect unauthorized activity)：假设攻击者获取到了公司某位员工的用户名和密码，并且使用它们来登录公司系统。在这种未经授权的活动造成任何损害之前，将它快速地检测出来至关重要。许多线索，例如地理位置，可以帮助我们检测到这种攻击者活动。
检测策略违规行为(Detect policy violations)：安全策略是一组规则和程序，旨在帮助公司抵御安全威胁并确保合规。违规行为的具体定义因公司而异；例如，下载盗版媒体文件以及以不安全的方式发送公司机密文件。
检测入侵(Detect intrusions)：入侵是指未经授权访问系统和网络。例如，攻击者成功地对我们的Web应用程序进行了漏洞利用；另一种情况是用户访问了恶意网站并导致计算机被感染。

Response(响应)

事件响应方面的支持(Support with the incident response)：一旦检测到事件，就应该采取某些步骤来进行响应。这个响应包括最大限度地减少其不良影响以及对事件发生的根本原因进行分析。SOC团队也会协助事件响应团队执行这些步骤。

SOC有三大支柱，凭借这些支柱， SOC团队能够日臻成熟并且可以高效地检测和响应不同的事件。这些支柱分别是：人员、流程和技术。

人员(People)、流程(Process)和技术(Technology)共存于SOC环境中。一支由专业人员组成的团队，在适当的工作流程下，使用最先进的安全工具，这是一个成熟的SOC环境的基础。

在下文内容中，我们将分别讨论每个SOC支柱，并研究它们如何成为SOC的重要组成部分。

答题

SOC 团队发现未经授权的用户正在尝试登录帐户，这是SOC的哪项功能？

Detection

SOC的三大支柱是什么？

People,Process,Technology

SOC中的人员

无论大多数安全任务的自动化程度如何发展，SOC中的人员始终是至关重要的。安全解决方案可能会在SOC环境中产生许多危险信号，从而造成巨大的干扰。

想象一下，你是消防队的一员，并且拥有一个集成了全市所有火灾警报的集中式软件。假设你同时收到许多来自不同地点的火灾通知，当你到达这些地点时，你的团队发现，其中大多数火灾通知只是由烹饪时所产生的过量烟雾引起的，最终，你们所有的努力都将白白浪费时间和资源。

在SOC中，如果安全解决方案就位而没有人工干预，那么你可能最终会错误地关注了很多无关紧要的问题，所以总是需要有人来帮助安全解决方案识别真正有害的活动并做出快速响应。

这些人员可以被称为SOC团队，该团队具有以下角色和职责。

SOC分析师(一级)： 安全解决方案检测到的任何内容都会首先经过这些分析师的审核。他们是任何检测的第一响应者。SOC 1 级分析师会执行基本的警报分类，以确定一个特定的检测是否有害。他们还会通过适当的渠道报告这些检测结果。
SOC分析师(二级)：虽然一级分析师负责进行初步分析，但是某些检测可能需要更深入的调查。二级分析师会帮助他们进行这样的深入调查，并会关联来自多个数据源的数据，以进行更准确的分析。
SOC分析师(三级)：三级分析师是经验丰富的专业人员，他们会主动寻找任何威胁指标，并在事件响应活动中提供支持。一级和二级分析师所报告的关键严重性检测通常是需要详细响应（包括遏制、根除和恢复）的安全事件。这时，三级分析师的经验就派上用场了。
安全工程师(Security Engineer)：所有分析师都致力使用安全解决方案来展开工作。这些解决方案需要部署和配置。安全工程师负责部署和配置这些安全解决方案，以确保它们顺利运行。
检测工程师(Detection Engineer)：安全规则是安全解决方案背后构建的逻辑，可用于检测有害活动。二级和三级分析师通常会创建这些规则，而SOC团队有时候也可以独立地聘请检测工程师来承担这一职责。
SOC经理：SOC经理负责管理SOC团队所遵循的工作流程并提供支持。SOC经理还会与组织的CISO(首席信息安全官)保持联系，向其提供SOC团队当前安全态势和工作的最新信息。

注意： SOC团队中的角色可能会根据组织的规模和重要性而增加或减少。

答题

警报分类(Alert triage)和报告是由谁负责的？(从上文的内容中选择相关角色)

SOC Analyst (Level 1)

SOC 团队中的哪个角色允许你专注于建立警报安全解决方案的规则？

Detection Engineer

SOC中的流程

我们讨论了 SOC 团队中不同人员的角色和职责。每个角色都有其各自的流程，正如我们所看到的，一级 SOC 分析师是第一响应者，负责执行警报分类并确定警报是否有害。接下来，让我们来讨论一下 SOC 中所涉及的一些重要流程。

警报分类(Alert Triage)

警报分类是 SOC 团队的基础。对任何警报的第一个响应就是执行分类。分类的重点是分析具体的警报。这可以确定警报的严重程度，并能够帮助我们确定它们的优先级。警报分类的关键在于回答 5W 问题，这 5个W 是什么？

以下是在警报分类期间需要回答的一些问题。

Alert(警报)：在主机上检测到恶意软件，该主机为GEORGE PC。

5 W	答案
What(发生了什么)?	在组织的网络中的一台主机上检测到恶意文件存在
When (什么时候发生的)?	这个恶意文件于 2024 年 6 月 5 日 13:20被检测到
Where? (在哪里发生的)	在哪个主机的目录中检测到恶意文件：“GEORGE PC”
Who(和谁有关)?	检测到与恶意文件相关的用户是：George
Why(为什么会这样)?	经过调查，发现该恶意文件是从盗版软件销售网站下载的。针对用户的调查显示，他们下载该文件是因为想要免费使用软件

报告

被检测到的有害警报需要上报给更高级别的分析师，以便及时响应和解决。这些警报将会以工单的形式上报，并分配给相关人员。报告应讨论所有的 5W 原则，并进行全面分析，而且需要使用屏幕截图作为活动的证据。

事件响应和取证

有时，报告的检测结果将指向高度恶意且至关重要的活动。在这种情况下，高层团队会启动事件响应。关于事件响应的流程可以参考事件响应基础实验房间。有时候，我们可能还需要进行详细的取证活动。这样的取证活动旨在通过分析来自于系统或网络的攻击痕迹(artifacts)来确定事件的根本原因。

答题

在调查结束时，SOC 团队发现 John 曾试图窃取系统数据。这个答案是 5W 中的哪个“W”？

Who

SOC 团队检测到大量的数据泄露。这个答案是 5W 中的哪个“W”？

What

SOC中的技术

如果没有用于检测和响应的安全解决方案，仅仅拥有合适的人员和流程是远远不够的。SOC支柱中的技术部分指的就是安全解决方案。这些安全解决方案可以有效地最大限度减少 SOC 团队在检测和响应威胁方面的手动工作。

一个组织的网络由众多设备和应用程序组成。作为安全团队，单独检测并响应每个设备或应用程序中的威胁需要投入大量的精力和资源，而安全解决方案可以集中网络中所有设备或应用程序的信息，并自动化地执行检测和响应功能。

让我们简单了解一下与SOC相关的一些安全解决方案：

SIEM：安全信息和事件管理(SIEM)是几乎在每个SOC环境中都会被使用的一个流行工具。该工具可以从各种网络设备(被称为日志源)中收集日志。SIEM解决方案中配置了检测规则，其中包含用于识别可疑活动的逻辑。SIEM解决方案将检测结果与多个日志源关联后，能够向我们提供检测结果，并能在与任何规则匹配时发出警报。现代SIEM解决方案超越了这种基于规则的检测分析，还能为我们提供用户行为分析和威胁情报功能，机器学习算法可以支持这一点以增强检测能力。

tips：安全信息和事件管理(SIEM-Security Information and Event Management)。

注意：SIEM解决方案在SOC环境中仅提供“检测-Detection”功能。

EDR：端点检测和响应(EDR-Endpoint Detection and Response)能为 SOC 团队提供关于设备活动的实时详细信息和可见历史记录。它在端点级别上运行，并可以执行自动响应。EDR具有广泛的端点检测功能，让你可以对其进行详细调查，并只需点击几下即可做出响应。
防火墙(Firewall)：防火墙的功能纯粹是为了网络安全，它可以充当内部网络和外部网络（例如互联网）之间的屏障。它能够监控传入和传出的网络流量，并过滤任何未经授权的流量。防火墙还能被部署一些检测规则，这可以帮助我们在可疑流量到达内部网络之前就识别并阻止它们。

其他一些安全解决方案在 SOC 环境中也发挥着独特的作用，例如防病毒、EPP、IDS/IPS、XDR、SOAR等等。SOC团队往往需要在仔细考虑威胁面和组织中的可用资源之后，才能决定在SOC中部署哪种技术(安全解决方案)。