SIEM、SOC、MSS三者的區別與聯系

SIEM、SOC、MSS三者的區別與聯系

前言

SIEM和SOC在國內并不是一個新興的名詞，相反在國內安全圈內經過了10余年的掙扎，SIEM已經趨于成熟，但是SOC仍處于一個雞肋的位置，我認為其主要原因在SOC受制于國內體制、政策、相關日志標準、應用環境、傳統認識的制約，從而它在國內一開始就是以產品的方式出現。缺少了MSS的輔助SOC就像是要求汽車駕駛員去駕駛維護飛機，這也是國內SOC一直無法用起來的主要原因。

而以SOC為基礎的MSS（可管理安全服務）一直無法發展狀大的原因有二。

1. 歐美國家對MSS服務的技術封鎖。

提供MSS服務要求擁有相當經驗高級安全分析專家、完整的SOC運維團隊；標準的安全事件響應與處理流程、SLA；成熟的信息安全檢測模型、威脅場景庫；精確的警報系統、報告系統。學習和建立這一套服務體系不光要耗費大量的金錢、時間與人力，還需要海量的運營資源來實踐，可見要拉出一支這樣的團隊實屬不易。

1. 高昂的人力成本與客戶現場運維相沖突。

做到以上MSS服務的要求需要的成本非常高昂，這就意味是如果要使其商業化最好的方式是集中式管理運營，這點與國內高端客戶普遍要求服務商在現場運維是相沖突的。歐美國家的MSS服務之所以盛行，其原因是其相關信息安全標準已經非常成熟，國家與商業機構都已經普遍執行并認可，所以MSS所要求的日志外傳+集中式管理運營（安全日志代運維）得到了接受和認可。

• 什么是SIEM

SIEM (安全信息和事件管理)是軟件和服務的組合，是SIM（安全信息管理）和SEM（安全事件管理）的融合體。兩者的區別在 于SEM側重于實時監控和事件處理方面，SIM側重歷史日志分析和取證方面。SIEM為來自企業和組織中所有IT資源（包括網絡、系統和應用）產生的安全信息（包括日志、告警等）進行統一的實時監控、歷史分析，對來自外部的***和內部的違規、誤操作行為進行監控、審計分析、調查取證、出具各種報表報告，實現IT資源合規性管理的目標，同時提升企業和組織的安全運營、威脅管理和應急響應能力。

• 什么是SOC

SOC（安全運營中心）來源于NOC（網絡運營中心）。

隨著信息安全問題的日益突出，安全管理理論與技術的不斷發展，需要從安全的角度去管理整個網絡和系統，而傳統的NOC在這方面缺少技術支撐，于是，出現了SOC的概念。

目前所說的SOC是SOC 1.0階段，只是在SOC的核心部件SIEM的買賣，國外所說的SOC是一個復雜的系統，它使用SIEM產品進行運維又以此向客戶提供服務，也就是我們所說的SOC 2.0/MSS。

SOC(安全運營中心)是以資產為核心，以安全事件管理為關鍵流程，采用安全域劃分的思想，建立一套實時的資產風險模型，協助管理員進行事件及風險分析，預警管理，應急響應的集中安全管理系統。

SOC是一個復雜的系統，它既有產品，又有服務，還有運維，SOC是技術、流程和人的有機結合。

• 什么是MSS

MSS（可管理安全服務）是由專業的MSSP（可管理安全服務提供商）提供的安全運維外包服務。

   MSS可為客戶帶來以下收益。

     1.降低成本：人員配置，技能要求，場地需求。

     2. 全天候監控：7×24的監控服務。

     3. 風險監控：有效監控安全風險，第一時間提供解決方案。

     4. 發現和解決問題：及時發現和解決可能存在的安全問題。

     5.趨勢分析：專業的安全趨勢分析，月、季、年安全分析報告。

     6.日志存儲和查詢：日志有效存儲和備份、快速查詢定位。

• SIEM、SOC和MSS的區別與關聯

SIEM側重于日志的集中式管理和審計，SOC則用于安全日志的分析和安全風險的監控與定位。兩者的側重點不同決定了，SIEM可以用產品來交附而SOC則必需加入MSS服務的人工干預來完善。

對于兩者之間的區別，SIEM只做到了傳統的安全日志數量統計，SOC+MSS則是對安全日志重定義并生成新的安全事件，實現對安全日志的歸并、過濾與威脅定級，將安全警報量化。例如，A公司受到***的DDoS***,15分鐘內收到了20W條相關的安全日志。SIEM報給客戶的報警為20W條，而SOC報給客戶的報警為1條，顯然在安全風險管理的角度上來看，SIEM的計數方式是不科學的。

MSS服務結合SOC則能做到智能化監控、分析、預警服務，改變過往自行維護繁復的安全信息與事件管理平臺的習慣，摒棄安全信息與事件管理平臺的復雜化，從管理的簡易性、事件呈現、事件處理等角度提供解決方案，可以通過門戶網站的模式獲得所關心的內容，同時也可以在指定時間內通過電話等多種形式得到安全響應和相應的安全解決方案，在門戶網站上也能得到更加詳細的解決方案內容。