无论被称为SOC、CSOC(计算机安全运维中心)、网络防御中心还是别的什么东西，安全运维中心(SOC)的根本使命都不会变——帮助企业检测、分析、响应、报告和预防网络安全事件。不过，随着威胁态势不断改变，怎么有效做到这一点也发生了变化，分析师及其所依赖的技术身上的担子也更重了。

很多SOC采取的是反应式方法，提供一套包括日志管理、实时监视、事件响应和调查在内的标准服务。他们使用传统的SIEM(安全信息和事件管理)，从内部源收集日志数据，进行关联，以简单实时的基于规则的分析来检测已知威胁。只要触发警报，他们就介入调查。一段时间里，这种水准的服务就足够了。但随着攻击越来越复杂，很明显有很多恶意行为都躲过了监视且没有产生明显日志数据，比如零日漏洞攻击和针对性恶意软件。这意味着传统攻击检测已经不再那么有效了。

由于成功数据泄露事件数量持续增长，且攻击者持续数周、数月甚至更长时间不被检测到，如今仅仅调查警报已经不够了。SOC分析师们很清楚不可能检测和封锁所有攻击的事实，他们必须采取积极的方式来保护公司资产，找出活跃威胁和被入侵系统。威胁捕获的重点，在于积极找出进入到网络中的威胁。这需要对可能被入侵系统的深入检查及查阅大量历史数据，以找出传统警报机制没有识别出的恶意活动。

投入威胁捕获

威胁捕获行动涉及一系列工具和技术。如果发现潜在数据泄露的证据，可以调查该系统以确定发生了什么、怎么发生的、是否有其他系统受到影响等，以便能够遏制和缓解攻击。然而不幸的是，人工捕获行动投入大产出小，耗费大量人力物力，却只有有限的机会可以查出东西。即便找出之前忽视掉的问题令人十分振奋，如果缺乏恰当的技术对之做出处理，那也只会是时间和金钱的浪费。

幸亏安全分析技术和威胁情报的发展，有助于充分利用捉襟见肘的分析师资源，开展更有效率的行动。这些技术提供帮助的方式有两种：将捕获集中在更有可能被泄露的资产上，以及重评估已发生事件以揭示最新威胁情报。

捕获被侵入系统

如大多数SOC分析师所知，很多情况下你是从普通员工报告‘某某系统有点不对劲’，而不是通过SIEM警报，来得知攻击的发生。高级攻击经常能避免触发明显警报，但仍会留下有东西出了差错的证据。被侵入的系统则会表现得与平时不一样。但依赖人工来发现非正常活动是不够的，而且跟不上当今的威胁态势。

高级分析大显身手之处正在于此。对潜在被侵入系统的积极发现和深入调查需要时间、精力和技术——这三样东西对绝大多数企业而言都是非常珍贵的。高级分析能基于发现异常来辅助识别捕获区域。突然偏离日常基线的系统，可能就正在运行新的未知进程、向不受信网络发送大量信息，或者与正常业务范围以外的地方进行通信。这些异常可能是无辜的，也可能指向潜在的被侵入系统。为发现此类异常，大多数成功捕获行动会从几种分析的综合运用开始：统计分析以识别出离群值，机器学习算法以评估这些离群值，判断是否与已知恶意行为类似。基于这些分析，具备较高被侵入概率的系统会被标识出来，进行后续深入彻底的调查。

重新评估过去

威胁捕获还包括通过检查历史数据找出可能被忽视掉的威胁。为克服传统SIEM的限制，威胁捕获采用基于大数据的新平台，来采集、管理和分析来自各种内部外部源的大量历史数据。在第一轮实时分析可能会错过什么东西的场合，可以使用大数据系统来检查可能的大量日志储备和其他可用数据源。通过采用最新威胁情报来重新分析，可具备重评估数据的能力，得到后见之明的好处。比如说，根据时下掌握的信息，通向命令与控制(C&C)基础设施的潜在恶意连接，有可能没被注意到。将更新过的威胁情报与网络通信历史元数据做对比，分析师就可能回顾性地发现攻击。

无论是积极找寻被侵入系统，还是重评估过去事件，目标都是增加捕获行动成功的可能性。大数据平台;实时全球威胁情报;再辅以基于规则的、统计的机器学习分析，分析师肩上的担子便能被有效减轻。为达成更具成效的捕获探索，这些技术必须协同使用，并融进分析师对所处环境的洞见和知识。具备了从追逐警报到捕获威胁的转型能力，SOC便能进化得在面对高级攻击时更加积极主动，更有效。

作者：佚名

来源：51CTO