第三章 SOC 資訊安全服務概述
第二節、 SOC 平台之技術架構
SOC 服務乃是以資安監控防護平台為基礎,進行機關、企業端的 7x24 資安防 護維運,監控網路環境異常狀況,處理突發的攻擊事件。防護平台的嚴謹度與功 能乃是防護成功與否的重要關鍵,整理 SOC 處理邏輯如(圖 8)所示,包括下述 之功能模組:
圖 8.SOC邏輯功能圖
收集客戶端的資安監控軟硬體維運資訊:如防火牆、入侵偵測系統、防 毒系統等。
SOC 平台前端資訊收集正規化(Import Layer/SIEM, Security Information Management Platform ): 將 各 種 客 戶 端 設 備 的 資 訊 進 行 正 規 化
(Normalization)與過濾(Filtering),以利於後端一致性的處理與判斷。
SOC 平台事件智慧判斷(Intelligence Layer/SIEM Platform):所收集到的 資訊安全事件資訊,與過去已知之案例進行智慧型的比對,以及對不同 的資料群間作關聯性的分析,判斷出最有可能的攻擊型態與來源。
事件處理與派工(Workflow Layer):對於所判定的攻擊行為進行因應處 理作業,包括事件發生時優先隔離問題,再進行深入處理之程序,以及 問題處理之分派、進展追蹤與層報等。
客戶服務入口網站:將事件處理進展資訊透過網站機制供客戶參考,或
Case Mgt Case Mgt
BMC Remedy Service Desk
監控作業
Console BrowserBrowser
事件日誌進行過濾事件日誌進行過濾
Log File
Database
Customer Site(客戶端) SOC
Virus Log Antivirus
Standard Agent Flex Agent
防毒監控
Case Mgt Case Mgt
BMC Remedy Service Desk
監控作業
Console BrowserBrowser
事件日誌進行過濾事件日誌進行過濾
Log File
Database
Customer Site(客戶端) SOC
Virus Log Antivirus
Standard Agent Flex Agent
圖 9.四層式資料處理架構圖
在上述的四層架構中:
「資料來源層」為被監控之設備。
「安全日誌收集層」為收集監控設備原始事件資訊之層次,包括內含安 裝於 FSA 的日誌收集 Agent 與收集防毒資訊之 Agent。
「安全事件分析層」為智慧型判斷分析之核心 SIEM/SIEM(Security Information & Event Management 或 Security Information Management)。
營運管理層為負責驅動營運作業流程之系統,包括提供營運異常事件之 警示、通報、查詢、層報、追蹤與統計等功能。
SOC 平台支援各種網路、資安設備監控作業,包括 Firewall,網路型入侵偵測
/防禦系統(IDS/IPS),主機型入侵偵測系統(Host IDS),防毒偵測系統等。前 端設備(FSA / Front-End Security Appliance)接收各項監控設備之原始事件資料,
並傳送至後端的監控平台進行事件的匯整與關聯性分析。
一、 前端事件收集器(FSA)
FSA(Front-end Security Appliance)部署於客戶端的前端設備,主要功用為收 集各項監控資安設備的原始事件資訊,經過聚合、過濾與壓縮後送回後端系統,
以分析出真正有威脅性的事件。FSA 具有集中管理、高可靠度、高安全性、快速 更新等特點,是一個理想的資安前端設備。
二、 SIEM/SIEM 系統
SIEM(Security Information & Event Management, SIM or SIEM)乃是 SOC 平 台智慧判斷能力的核心模組,為一整合性的資訊安全事件管理平台,主要提供用 戶更為即時且有效的資訊安全管理。SIEM 系統收集各資訊安全設備、網路設備、
作業系統、應用程式之日誌,配合 SOC 營運人員之經驗,對這些資訊加以過濾、
正規化及關聯分析,從成千上萬錯綜複雜之日誌檔中即時獲知單位或客戶端之資 訊安全狀態。
三、 營運管理系統
營運管理平台用來管理資安事件之處理流程,內含維運經驗及客戶維運需 求,是 SOC 營運效率與服務水準之精髓所在。營運管理平台提供資訊安全服務管 理一個整合性的基礎,基於 ITIL 最佳實務方法論,將設計相關流程並加以自動化,
包括監控、傳送與管理異常事件之服務請求、異動服務請求,顯示受到事件或問 題衝擊的服務,並顯示相關的組態資訊與管理資訊,以提供營運組織做服務優先 順序的決策,採取適當的回應動作。
表3 營運管理系統與ITIL服務流程關係表
營運管理系統 ITIL 服務管理流程 Service
Desk
Incident Management Incident Management(事件管理)
Problem Management Problem Management(問題管理)
Task Tracking Change Management(異動管理)
Service Level Management Service Level Management(SLM,服務水準管理)
CMDB Configuration Management(組態管理)
SIEM 平台