[セキュリティオペレーションセンター(SoC) またはn etworkオペレーションセンター(NoC)[〜#〜] itilに基づいて確立するためのリソースと詳細を探しています[〜#〜] またはその他の該当する規制。コンサルタントの採用を除いて、どこで他の人の良い詳細や経験を見つけることができますか。
以下は、プロジェクト、特にセキュリティプロジェクトの確立に関するいくつかの経験です。これは、私がセキュリティスタック交換の回答について インシデントの妥協 について書いたコンサルティングとアウトソーシングに適用されます。
リソースに関しては、何を構築する必要があるか、何人を雇用するか(およびどのレベルの資格で)かは、環境に大きく依存します。多くの点で、1つまたは2つの優れた戦略コンサルタントが、より適切な意思決定を行うようにプッシュすることができますが、本当の話が必要な場合は、追加のアドバイスをさせてください。
セキュリティイベントとインシデントは、SIEMおよびインシデント検出&応答(IDR)パネルに既に精通している担当者が追跡するのが最適です。そのため、SIEM /ログ管理/ IDRでの過去の実践的および戦略的長期経験を持つ候補者を探します。スタッフ配置については、Lance Haydenが、彼の著書「IT Security Metrics」で説明されているように、Minitabのポアソン分布を使用して現在のセキュリティイベント/インシデントストリームを分析します。また、ビジネスワークフローや、高品質のSOCを構築するために非常に重要なその他の概念についても説明します。
IDRパネルの場合、 [〜#〜] airt [〜#〜] または [〜#〜] rtir [〜#〜] -を検討するか、カスタムパネルを作成します。おそらく彼らのワイヤーフレームとワークフローに基づいています。 Remedyなど、多くの組織がIDRをチケットシステムに統合しています。
SIEMには費用がかかります ですが、SOCを開始するための書籍とリソースがあります。 2011年のほとんどのセキュリティインシデントは、SQLインジェクション(または他のWebアプリレイヤー攻撃)とクライアント側のブラウザー/ドキュメント攻撃(例:Adobe Reader/Flash、Microsoft IE/Office/ActiveX、Oracle Javaアプレット)です。 、など)。SOCチームは、このブログの記事 Closing The Loop で概説されている手法とツールに精通していることを強くお勧めします。そのブログの他の重要な情報をトーンダウンしないでください。投稿-特に興味があるものがあります[PDF] [CSIRTハンドブック] 6 [ダウンロード]。その論文は古いですが、依然として非常に関連があります。
より最新のリソースについては、ガイドと他の多くのリソースを [〜#〜] first [〜#〜] で確認してください。
これらの本も必要に応じて参考になります。