SOC公式
注意 — 本文最初于2020年9月发布在我的网站infosecamateur.com上。在Twitter @mconnarty上关注我!
2022年1月的思考
我正在改变对这篇博文的思考方式——如果实施了基于风险的警报,那么可以使用类似的公式来确定规则的最终风险评分,而不是决定是否启用它。
我考虑的另一个因素是,也许通过一些变化,这样的公式可以应用于数据源本身以确定其优先级,特别是在摄取成本很高的情况下。本质上,如果每字节的价值/成本比率较低,您可能会考虑将其放在其他地方。这是我正在研究的内容,因此这可能会改变,并且/或者我可能会将其拆分为单独的博文。
SOC资源管理
所有关于安全的营销以及如何通过某种工具解决警报疲劳的问题让我前几天有了一个想法。也许有一种方法可以以准量化的方式评估我们正在启用的警报或日志源本身。基于团队的性质、他们的技能、可用时间和工具预算,我们可以确定启用什么级别的警报。因此,我花了几天时间研究数据,试图制定一个经验法则公式,输出一个1-100之间的数字。您可以根据本地资源决定要启用的警报阈值。
我发现有一些关于SOC指标的整体文章,但我还没有找到描述为警报或日志源分配价值的文章。这并不是说没有,我非常欢迎任何建议,我认为我想出一些新的和有用的东西的几率不会那么高!此外,我的数学技能还有很多不足之处,虽然我用来测试的所有数据似乎都给出了合理的输出,但可能有更好的方法来实现我的目标。
我很想听到任何反馈或建议,如果这确实有实际用途,那就太好了。
公式
A=真阳性率 — 对真阳性率的粗略概念,它不一定代表特定的百分比,如果它是对数性质的,可能更有意义。
B=最大价值/影响 — 真阳性在最坏情况下代表什么。
C=调查时间 — 当此警报触发时,分析师调查需要多少时间。
D=调查技能 — 有效分析此警报所需的技能水平。
E=工具成本 — 工具警报和/或调查触发事件的成本有多高。
X=成本容忍度 — 这是工具成本的乘数。如果预算紧张,应增加一个因子。这个因子也应该用于除数。
V=价值 — 此警报的“价值”。您可以使用它来优先处理警报和/或日志源。
公式
|
|