5個安全運(yùn)營中心優(yōu)秀做法
—— 閱讀:1638次
1. 運(yùn)營模式
SOC提供商是主要集中于事件通知�,還是在團(tuán)隊擴(kuò)展模式下工作并主動采取措施來響應(yīng)事件?這里沒有正確的答案�,但是這種響應(yīng)會影響企業(yè)的網(wǎng)絡(luò)安全團(tuán)隊的結(jié)構(gòu)。如果SOC團(tuán)隊僅將事件通知企業(yè)�,則其內(nèi)部網(wǎng)絡(luò)安全團(tuán)隊需要培訓(xùn)��、工具和流程����,以評估事件并采取適當(dāng)行動��,這通常描述在SOC運(yùn)行手冊中—由IT開發(fā)的一套已定義的程序用于維護(hù)日常工作��。
2. SOC運(yùn)行手冊本身
無論由誰執(zhí)行(內(nèi)部團(tuán)隊還是SOC提供商)���,運(yùn)行手冊如何開發(fā)? SOC提供商是否有標(biāo)準(zhǔn)化運(yùn)行手冊��,可為每個客戶量身定制�����,還是客戶應(yīng)計劃進(jìn)行開發(fā)?
3. SOC提供商提供的服務(wù)組合
在第一���、第二和第三級支持方面���,提供商提供什么服務(wù)? SOC提供商是否提供主動或反應(yīng)式服務(wù),例如威脅搜尋����、滲透測試或紅色或紫色的團(tuán)隊練習(xí)?反應(yīng)式服務(wù)是SOC提供商的重點(diǎn)�。主動服務(wù)可使客戶減少對其他提供商的依賴,或幫助顯著加強(qiáng)其安全態(tài)勢�。
4. SOC提供商依賴的工具和技術(shù)集
工具通常會破壞交易����,特別是在企業(yè)需求與SOC提供商提供的內(nèi)容不匹配的情況下。請務(wù)必提出以下問題: 提供商將使用客戶的工具�����,還是自己的工具? 誰擁有工具和軟件的許可?所有權(quán)和許可問題可能會增加SOC的成本和復(fù)雜性���。 SOC提供商如何處理與客戶工具環(huán)境的集成?
5. 如何終止關(guān)系?
通常,由于終止關(guān)系的復(fù)雜性和成本�,客戶被鎖定在供應(yīng)商。避免這種情況的最好方法是預(yù)先了解流程��。
