SOC资源管理公式
注 — 本文最初于2020年9月发布在我的网站infosecamateur.com上。在Twitter @mconnarty上关注我!
2022年1月的最新思考
我正在重新思考这篇博客文章的内容 — 如果实施了基于风险的警报机制,类似这样的公式可用于确定规则的最终风险评分,而不是决定是否启用该规则。
我考虑的另一个因素是,通过一些调整,这样的公式可以应用于数据源本身以确定其优先级,特别是在数据摄取成本较高的情况下。本质上,如果每字节的价值/成本比率较低,您可能会考虑将其存储在其他地方。这是我正在研究的内容,因此这可能会发生变化,并且/或者我可能会将其单独写成一篇博客文章。
SOC资源管理
所有关于安全的营销宣传,以及关于只有某种工具才能解决警报疲劳的说法,让我某天产生了一个想法。也许我们可以用一种半量化的方式来评估我们启用的警报或日志源本身。基于团队的性质、他们的技能、可用时间和工具预算,我们可以确定要启用什么级别的警报。因此,我花了几天时间研究数据,试图制定一个经验法则公式,该公式将输出一个1-100之间的数字。您可以根据本地资源决定要启用警报的阈值。
我发现有一些关于SOC整体指标的文章,但我还没有找到一篇描述如何为警报或日志源分配价值的文章。这并不是说没有这样的文章,我非常欢迎任何建议,我认为我提出一些新颖且有用的东西的可能性并不高!此外,我的数学技能还有很多不足之处,虽然我用来测试的所有数据似乎都给出了合理的输出,但可能有一种更好的方法来实现我的目标。
我很想听到任何反馈或建议,如果这确实有实际用途,那就太好了。
公式参数
- A = 真阳性率 — 对真阳性率的粗略估计,它不一定代表特定的百分比,如果它具有对数性质可能更有意义。
- B = 发现的最大价值/影响 — 真阳性在最坏情况下代表什么。
- C = 调查时间 — 当此警报触发时,分析师调查需要花费多少时间。
- D = 调查技能 — 有效分析此警报需要什么水平的技能。
- E = 工具成本 — 工具警报和/或调查触发事件的成本有多高。
- X = 成本承受能力 — 这是工具成本的乘数。如果预算紧张,这应该按系数增加。这个系数也应该用在除数中。
- V = 价值 — 此警报的“价值”。您可以使用它来优先处理警报和/或日志源。