蓝队基础4 -- 安全运营与监控

声明：
本文的学习内容来源于B站up主“泷羽sec”视频“蓝队基础之网络七层杀伤链”的公开分享，所有内容仅限于网络安全技术的交流学习，不涉及任何侵犯版权或其他侵权意图。如有任何侵权问题，请联系本人，我将立即删除相关内容。
本文旨在帮助网络安全爱好者提升自身安全技能，并严格遵守国家法律法规。任何人利用本文中的信息从事违法活动，均与本文作者和“泷羽sec”无关。请读者自觉遵纪守法，合理合法使用相关知识。

1 SOC管理流程：保障企业信息安全的基石

SOC（Security Operations Center，安全运营中心）是企业信息安全管理的重要组成部分，负责监控、分析并响应网络中的安全事件。为了让SOC与企业的整体信息安全管理体系无缝衔接，理解SOC如何融入ISMS（Information Security Management System，信息安全管理体系）至关重要。

1.1 ISO27001与NIST网络安全框架的标准

ISO27001和NIST网络安全框架是企业安全管理的两大主流标准。ISO27001提供基于控制的审计与认证框架，而NIST网络安全框架则更强调网络攻击的识别、保护、检测、响应和恢复五大阶段。这些标准为企业制定安全策略提供指导，尽管它们并未强制要求建立SOC，因此企业的安全运营方式通常因地制宜。

1.2 信息安全生命周期与管理框架

信息安全的生命周期大体分为安全策略、能力设计、实施和运营四个阶段。戴明环（PDCA）模型，即计划、执行、检查、行动，早期表现出信息安全管理的基本思路。SABSA框架在此基础上进行了拓展，将生命周期划分为战略规划、设计、实施和管理测量四大阶段。

对于渗透测试，SOC操作重在避免被检测；而从防御视角来看，理解SOC的生命周期有助于确保其高效运作。SOC的核心目标是通过监控与事件响应，为企业基础设施与业务流程提供坚实的安全保障。

1.3 SOC分层：职责划分与响应机制

SOC通常按职责和技术复杂性分为不同层级，每个层级处理特定任务：

• L1层：监控告警、分类事件并处理较小问题。
• L2层：负责日常事件的分析、遏制及解决。
• L3层：应对高级威胁，进行损失控制、深入调查和数字取证分析。
• L4层：管理非事件性流程，例如账户管理、访问权限审核、定期安全报告及其他主动防护任务。

2 日志收集：构建安全监控的基础

日志收集是网络安全监控的基础，它涉及从各种关键日志来源收集数据。这些来源包括但不限于代理服务器、邮件服务器、Web服务器、数据库、身份认证服务器、防火墙、路由器和交换机，以及应用程序服务器和工作站。为了有效地收集这些日志，需要配置日志源以生成日志，并将其转发给日志收集器，然后上传到SIEM（安全信息和事件管理）系统。

在Windows系统中，可以使用事件日志收集和转发机制来获取日志数据。而在Linux系统中，则通常使用syslog来收集和聚合日志，并将其转发到指定的日志收集器。此外，随着物联网技术的发展，楼宇管理和工控网络日志也成为了重要的日志来源，这些系统现在通常连接到企业网络，并可能成为攻击者的主要目标。

3 日志搜索与分析：发现潜在威胁

收集到的日志数据需要进行有效的搜索和分析，以便及时发现潜在的安全威胁。Splunk等日志管理工具提供了强大的日志收集、存储、搜索、分析和可视化功能。此外，SIEM系统能够关联日志与活动，识别可疑内容，而Splunk也可以作为SIEM解决方案之一。

4 监控告警：实时响应网络安全威胁

监控告警是网络安全响应的重要组成部分。告警可以来自SIEM系统，但也可以直接来自安装在系统和网络中的传感器实时告警系统，如IDS（入侵检测系统）设备。此外，事后告警系统，如AIDE（监视系统文件的修改）等，也可以提供重要的安全信息。在某些情况下，事件可能不会从日志或警报中触发，例如攻击者更改了用户密码后，用户可能会直接联系管理员进行通告。

5 事件响应：快速高效的安全事件处置

事件响应是网络安全管理的关键环节。L2级分析师在收到L1级的工单后，会进行分析评估，并进行相应的事件响应流程。数字取证分析是网络安全的一个专门领域，通常由L3级分析师处理。他们会对内存、硬盘等存储设备以合法方式进行取证，以保护数据的完整性。

6 Cyber Hunting（网络狩猎）：主动防御新兴威胁

网络狩猎是SOC（安全运营中心）L3级分析师的一门新兴学科。它假设网络已被渗透，通过主动寻找恶意软件（或入侵者），争取在攻击造成损失之前发现。网络狩猎需要寻找一系列指标，以还原网络攻击时间线。MITRE ATT&CK框架是网络威胁猎人的一个关键资源，它提供了攻击者行为方式及其使用工具的信息，有助于发现攻击痕迹。网络威胁搜寻需要非常了解正常状态，并能够识别入侵和异常活动。

7 威胁情报：及时获取新兴威胁信息

威胁情报是网络安全管理的重要组成部分。妥协指标（IOC）是用于识别恶意软件或恶意活动的签名，通常以文件名和哈希值的形式提供。考虑到新威胁信息的规模，手动获取和记录威胁情报已不再可行。因此，自动化威胁管理变得尤为重要。MITRE开发了结构化威胁信息表达（STIX）和可信智能信息自动交换（TAXII）协议，以实现威胁信息的自动提供和摄取。这些协议允许自动获得威胁情报，并将其输入IDS、SIEM等工具，从而实现威胁情报的近乎实时更新，以确保击败已知威胁。此外，AlienVault OTX等开放威胁交换服务也提供了手动访问危害指标的功能。