Downloaded 320 times
More Related Content
SIEM and SOC
- 1. Security Operation Center (SOC) ByAbolfazl Naderi Naderi.training@gmail.com خدا نام به
- 2.
- 3.
- 4. A kill chainis a term used by the US military to describe the steps or stages an adversary takes to attack you. Cyber Kill Chain
- 5. A set oftools, people and processes to Identify, analyze, respond to events and prevent cyber security incidents. What is SOC?
- 6. NOC Network Fault Tolerance Switch/Router Configuration Sniffingand Troubleshooting System and Traffic Monitor SOC Network Behavior anomaly detection Intrusion Detection Log Management Network Forensics Vulnerability detection and Awareness Management and Change Policy All NOC Feature NOC vs. SOC
- 7.
- 8. Effective Managementof Events Centralized Security Monitoring and Real-time Network Traffic Effective Patch and Update Management Calculate and Analyze Network Risk Importance and necessity of SOC
- 9. Effective Management ofEvents
- 10. ش ترافیک آنیو متمرکز امنیتی رصدبکه Centralized Security Monitoring and Real-time Network Traffic
- 11. امنیتی های وصلهموثر مدیریت Patch and Update Management
- 12. شبکه ریسک تحلیل Calculateand Analyze Network Risk
- 13. Goals implement SOC Appropriateand effective dealing with security events and threats Promote security and stability of data and services by protecting information infrastructure, traffic, services and customer data Reduce the time of disruption to customer service Improve and speed up the security responses Improve network performance Reduce the costs of security threats and attacks
- 14.
- 15. نیاز مورد هایآموزش وظایف عنوانشغلی •فرآیندبندی الویتهشدارها؛ •شبکه نفوذ تشخیص. •کاربااطالعا مدیریت سیستمو ت یا امنیتی رخدادهایSIEMو خاص ابزار آموزش دیگر. •های گواهینامهآموزش به مربوط مان امنیتی ای پایه و اولیه هایند Security +،SANS 401و ... •مانیتورینگهشدار صف مداومها •بندی الویتامنیتی هشدارهای •عملکرد صحت بر نظارت نقطه و امنیتی سنسورهای پایانی •اطالعات آوری جمعایجاد و کار شروع برای الزم زمینهTier 2. Tier 1 Alert Analyst People
- 16. نیاز مورد هایآموزش وظایف عنوانشغلی •Forensicپیشرفت های شبکه،ه Forensic،میزبان •به پاسخ پیشرفته روشهای حوادث •ها الگ بازخوانی •بدافزارها اولیه ارزیابی •Forensicتهدیدات شبکه •حوزه در امنیتی مدارک دارای نفوذ تستوForensicمانند CEH،ECSA،CHFI،GCFA و... •ب حادثه تحلیل و تجزیه انجاما سنجی ازهمبستگی استفاده اطالعات میانمختلف منابع. •در بحرانی وضعیت تعیین داده مجموعه یا سیستم. •بازسازی در مشاوره. •پشتیبانی امکان کردن فراهماز برای جدید تحلیلی های روش تهدیدات شناسایی Tier 2 Incident Responder People
- 17. نیاز مورد هایآموزش وظایف عنوانشغلی •تشخیص در پیشرفته های آموزش ناهنجاری •آوری جمع برای آموزش خاص ابزار هوش و تحلیل و تجزیه و ها داده تهدید امنیتی مدارک دارایSANSمانند SEC503: Intrusion Detection In-Depth SANS SEC504: Hacker Tools, Techniques, Exploits and Incident Handling; SANS SEC561: Intense Hands-on Pen Testing Skill Development; SANS FOR610: Reverse- Engineering Malware: •نقطه ،شبکه در عمیق دانش دارای ،تهدیدات اطالعات ،پایانی Forensicمعکوس مهندسی و بدافزارهاوبرنامه عملکرد همچنین زیرساخت یا و خاص کاربردی های اساسی هایIT •درمانند حوادث مقابل"شکارچی” از قبل را وحوادث کرده عمل تشدیدشدنسازد می برطرف •اجرا و تنظیم ،توسعه در نزدیک ازی تهدید تشخیص تحلیل و تجزیهات باشند دخیل. Tier 3 Subject Matter Expert/ Hunter People
- 18. نیاز مورد هایآموزش وظایف عنوانشغلی •پروژه مدیریت •حوادث به گویی پاسخ مدیریت •قابلیتکلی مدیریتافراد •شامل ها گواهینامهCISSP، CISA،CISMمقابلCGEIT. •بود ،پرسنل شامل منابع مدیریت،جه استراتژی و تغییر ریزی برنامه رفع برای تکنولوژیSLAها •مدیریت با ارتباط. •برای سازمانی مسئول عنوان به کسب در بحرانی حوادث با مقابلهو سازمان کار. •کلی رهبریSOCسازی فراهم و امنیت کلی استراتژی SOC Manager People
- 19.
- 20. 1 • Create aprocess for repeating events 2 • Workflow created to deal with threats 3 • Implementation of incident response processes Process
- 21.
- 22. Sensors and Feeder SecurityInformation Event Management Patch Management System Ticketing System Vulnerability Assessment Traffic Flow Analyzer Major Components of the SOC
- 23.
- 24. امنیتی افزارهای سختو افزارها نرم UTM/Firewall Anti Malware IPS/IDS Remote Access Software Web proxy Vulnerability Management System Authentication Servers Network Quarantine Servers Router and Switch Security Software
- 25. System Events Service Changes System Operation like Restart, shutdown Audit Records Security Events Like Successful or Failed Login Access to Files Change Security Policy User Changes Operating System
- 26. Client Requestsand Server Responses Web Server , Mail Server , … Account Information Authentication Logs , User Modification , Permission Modification Brute Force , Guessing , Privilege Escalation , … Usage Information Number of Transaction , Traffic Bandwidth , Number of Mail , … Significant Operational Actions Software Problems , Service Shut or Up , … Applications
- 27. Nessus Acunetix GFI LANGuard IBM AppScan Netsparker Burp Suite Retina Qualys HP WebInspect Vulnerability Scanner
- 28.
- 29.
- 30.
- 31.
- 32.
- 33. Compare eventsfrom multiple sources to track users and processes across systems. Track events across time periods to look for sequences of activity that should not normally occur Encode human knowledge about what it not normal for a system, or indicates a probably attack, into automatic monitoring Log Correlation is the most powerful feature in SIEM Correlation
- 34.
- 35. • Rule-Base Correlation •Vulnerability Correlation • Statistical Correlation • Anomaly Detection • Identity Correlation • … Correlation Type Type of Correlation
- 36. www.sans.org Buildinga World-Class Security Operations Center: A Roadmap – SANS www.behinrahkar.com References