SIEM、SOC、MSS三者的區(qū)別與聯(lián)系

SIEM、SOC、MSS三者的區(qū)別與聯(lián)系

前言

SIEM和SOC在國內(nèi)并不是一個(gè)新興的名詞，相反在國內(nèi)安全圈內(nèi)經(jīng)過了10余年的掙扎，SIEM已經(jīng)趨于成熟，但是SOC仍處于一個(gè)雞肋的位置，我認(rèn)為其主要原因在SOC受制于國內(nèi)體制、政策、相關(guān)日志標(biāo)準(zhǔn)、應(yīng)用環(huán)境、傳統(tǒng)認(rèn)識(shí)的制約，從而它在國內(nèi)一開始就是以產(chǎn)品的方式出現(xiàn)。缺少了MSS的輔助SOC就像是要求汽車駕駛員去駕駛維護(hù)飛機(jī)，這也是國內(nèi)SOC一直無法用起來的主要原因。

方城網(wǎng)站建設(shè)公司成都創(chuàng)新互聯(lián),方城網(wǎng)站設(shè)計(jì)制作，有大型網(wǎng)站制作公司豐富經(jīng)驗(yàn)。已為方城近千家提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\外貿(mào)營銷網(wǎng)站建設(shè)要多少錢，請(qǐng)找那個(gè)售后服務(wù)好的方城做網(wǎng)站的公司定做！

而以SOC為基礎(chǔ)的MSS（可管理安全服務(wù)）一直無法發(fā)展?fàn)畲蟮脑蛴卸?/p>

1. 歐美國家對(duì)MSS服務(wù)的技術(shù)封鎖。

提供MSS服務(wù)要求擁有相當(dāng)經(jīng)驗(yàn)高級(jí)安全分析專家、完整的SOC運(yùn)維團(tuán)隊(duì)；標(biāo)準(zhǔn)的安全事件響應(yīng)與處理流程、SLA；成熟的信息安全檢測模型、威脅場景庫；精確的警報(bào)系統(tǒng)、報(bào)告系統(tǒng)。學(xué)習(xí)和建立這一套服務(wù)體系不光要耗費(fèi)大量的金錢、時(shí)間與人力，還需要海量的運(yùn)營資源來實(shí)踐，可見要拉出一支這樣的團(tuán)隊(duì)實(shí)屬不易。

1. 高昂的人力成本與客戶現(xiàn)場運(yùn)維相沖突。

做到以上MSS服務(wù)的要求需要的成本非常高昂，這就意味是如果要使其商業(yè)化最好的方式是集中式管理運(yùn)營，這點(diǎn)與國內(nèi)高端客戶普遍要求服務(wù)商在現(xiàn)場運(yùn)維是相沖突的。歐美國家的MSS服務(wù)之所以盛行，其原因是其相關(guān)信息安全標(biāo)準(zhǔn)已經(jīng)非常成熟，國家與商業(yè)機(jī)構(gòu)都已經(jīng)普遍執(zhí)行并認(rèn)可，所以MSS所要求的日志外傳+集中式管理運(yùn)營（安全日志代運(yùn)維）得到了接受和認(rèn)可。

 

 

• 什么是SIEM

SIEM (安全信息和事件管理)是軟件和服務(wù)的組合，是SIM（安全信息管理）和SEM（安全事件管理）的融合體。兩者的區(qū)別在 于SEM側(cè)重于實(shí)時(shí)監(jiān)控和事件處理方面，SIM側(cè)重歷史日志分析和取證方面。SIEM為來自企業(yè)和組織中所有IT資源（包括網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用）產(chǎn)生的安全信息（包括日志、告警等）進(jìn)行統(tǒng)一的實(shí)時(shí)監(jiān)控、歷史分析，對(duì)來自外部的***和內(nèi)部的違規(guī)、誤操作行為進(jìn)行監(jiān)控、審計(jì)分析、調(diào)查取證、出具各種報(bào)表報(bào)告，實(shí)現(xiàn)IT資源合規(guī)性管理的目標(biāo)，同時(shí)提升企業(yè)和組織的安全運(yùn)營、威脅管理和應(yīng)急響應(yīng)能力。

 

• 什么是SOC

SOC（安全運(yùn)營中心）來源于NOC（網(wǎng)絡(luò)運(yùn)營中心）。

隨著信息安全問題的日益突出，安全管理理論與技術(shù)的不斷發(fā)展，需要從安全的角度去管理整個(gè)網(wǎng)絡(luò)和系統(tǒng)，而傳統(tǒng)的NOC在這方面缺少技術(shù)支撐，于是，出現(xiàn)了SOC的概念。

目前所說的SOC是SOC 1.0階段，只是在SOC的核心部件SIEM的買賣，國外所說的SOC是一個(gè)復(fù)雜的系統(tǒng)，它使用SIEM產(chǎn)品進(jìn)行運(yùn)維又以此向客戶提供服務(wù)，也就是我們所說的SOC 2.0/MSS。

SOC(安全運(yùn)營中心)是以資產(chǎn)為核心，以安全事件管理為關(guān)鍵流程，采用安全域劃分的思想，建立一套實(shí)時(shí)的資產(chǎn)風(fēng)險(xiǎn)模型，協(xié)助管理員進(jìn)行事件及風(fēng)險(xiǎn)分析，預(yù)警管理，應(yīng)急響應(yīng)的集中安全管理系統(tǒng)。

SOC是一個(gè)復(fù)雜的系統(tǒng)，它既有產(chǎn)品，又有服務(wù)，還有運(yùn)維，SOC是技術(shù)、流程和人的有機(jī)結(jié)合。

 

• 什么是MSS

MSS（可管理安全服務(wù)）是由專業(yè)的MSSP（可管理安全服務(wù)提供商）提供的安全運(yùn)維外包服務(wù)。

   MSS可為客戶帶來以下收益。

     1.降低成本：人員配置，技能要求，場地需求。

     2. 全天候監(jiān)控：7×24的監(jiān)控服務(wù)。

     3. 風(fēng)險(xiǎn)監(jiān)控：有效監(jiān)控安全風(fēng)險(xiǎn)，第一時(shí)間提供解決方案。

     4. 發(fā)現(xiàn)和解決問題：及時(shí)發(fā)現(xiàn)和解決可能存在的安全問題。

     5.趨勢分析：專業(yè)的安全趨勢分析，月、季、年安全分析報(bào)告。

     6.日志存儲(chǔ)和查詢：日志有效存儲(chǔ)和備份、快速查詢定位。

 

• SIEM、SOC和MSS的區(qū)別與關(guān)聯(lián)

SIEM側(cè)重于日志的集中式管理和審計(jì)，SOC則用于安全日志的分析和安全風(fēng)險(xiǎn)的監(jiān)控與定位。兩者的側(cè)重點(diǎn)不同決定了，SIEM可以用產(chǎn)品來交附而SOC則必需加入MSS服務(wù)的人工干預(yù)來完善。

對(duì)于兩者之間的區(qū)別，SIEM只做到了傳統(tǒng)的安全日志數(shù)量統(tǒng)計(jì)，SOC+MSS則是對(duì)安全日志重定義并生成新的安全事件，實(shí)現(xiàn)對(duì)安全日志的歸并、過濾與威脅定級(jí)，將安全警報(bào)量化。例如，A公司受到***的DDoS***,15分鐘內(nèi)收到了20W條相關(guān)的安全日志。SIEM報(bào)給客戶的報(bào)警為20W條，而SOC報(bào)給客戶的報(bào)警為1條，顯然在安全風(fēng)險(xiǎn)管理的角度上來看，SIEM的計(jì)數(shù)方式是不科學(xué)的。

MSS服務(wù)結(jié)合SOC則能做到智能化監(jiān)控、分析、預(yù)警服務(wù)，改變過往自行維護(hù)繁復(fù)的安全信息與事件管理平臺(tái)的習(xí)慣，摒棄安全信息與事件管理平臺(tái)的復(fù)雜化，從管理的簡易性、事件呈現(xiàn)、事件處理等角度提供解決方案，可以通過門戶網(wǎng)站的模式獲得所關(guān)心的內(nèi)容，同時(shí)也可以在指定時(shí)間內(nèi)通過電話等多種形式得到安全響應(yīng)和相應(yīng)的安全解決方案，在門戶網(wǎng)站上也能得到更加詳細(xì)的解決方案內(nèi)容。

網(wǎng)頁名稱：SIEM、SOC、MSS三者的區(qū)別與聯(lián)系
文章起源：http://bm7419.com/article40/goiceo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站排名、企業(yè)網(wǎng)站制作、網(wǎng)站營銷、定制開發(fā)、商城網(wǎng)站、外貿(mào)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)