SOC资源管理公式
注:本文最初于2020年9月发布在我的网站infosecamateur.com上。在Twitter @mconnarty关注我!
2022年1月的最新思考
我正在调整对这篇博文的思考——如果实施了基于风险的警报机制,类似这样的公式可用于确定规则的最终风险评分,而不是决定是否启用该规则。
我考虑的另一个因素是,通过某些变化,这类公式可以应用于数据源本身以确定其优先级,特别是在数据摄取成本较高的情况下。本质上,如果每字节的价值/成本比率较低,您可能会考虑将其放置在其他地方。这是我正在研究的内容,因此这可能会发生变化,并且/或者我可能会将其拆分为单独的博文。
SOC资源管理
所有关于安全的营销宣传,以及关于警报疲劳只能通过某种工具解决的言论,让我某天产生了一个想法。或许有一种方法可以以半量化的方式评估我们正在启用的警报或日志源本身。基于团队的性质、他们的技能、可用时间和工具预算,我们可以确定启用什么级别的警报。因此,我花了几天时间研究数据,尝试制定一个经验法则公式,该公式将输出一个1到100之间的数字。您可以根据本地资源决定要启用警报的阈值。
我发现有一些关于SOC整体指标的文章,但我还没有找到描述为警报或日志源分配价值的文章。这并不是说没有这样的文章,我非常欢迎任何建议,我认为我提出新颖且有用内容的可能性不会那么高!此外,我的数学技能还有很多不足之处,虽然我用于测试的所有数据似乎都给出了合理的输出,但可能有更好的方法来实现我的目标。
我很乐意听取任何反馈或建议,如果这确实具有实际用途,那就太好了。
公式变量说明
- A = 真实阳性率 - 对真阳性率的粗略概念,它不一定代表特定的百分比,如果它具有对数性质可能更有意义。
- B = 最大价值/影响 - 真阳性在最坏情况下代表的价值。
- C = 调查时间 - 当此警报触发时,分析师调查所需的时间。
- D = 调查技能 - 有效分析此警报所需的技能水平。
- E = 工具成本 - 工具警报和/或调查触发事件的成本。
- X = 成本承受能力 - 这是工具成本的乘数。如果预算紧张,应增加此因子。该因子也应用于除数中。
- V = 价值 - 此警报的"价值"。您可以使用此值来优先处理警报和/或日志源。