警惕鼓吹自家 SIEM 是万灵丹的供应商。

Local Pensions Partnership (LPP) 是一家托管着 174 亿英镑资产的公营养老金基金服务提供商，日前宣称正考虑采用第三方安全运营中心 (SOC)，并拿出 1.5 万英镑来确定这是不是一个好主意。

在发现阶段分析的合约通告中，LPP 称，所有感兴趣的第三方供应商都应能够展示 SOC 可为 LPP 带来的 “可追踪” 优势视图，并明确此类系统的内部和外部开销。

LPP 目前由其内部安全工作组负责网络安全工作，保护其数据和基础设施。LPP 还为当地政府养老金计划、警察与消防员养老金计划的 60 万名参与人员提供养老金管理服务。

LPP 的安全团队还在合约通告中描述了他们的要求，其项目主管表示：

我需要确保持续的主动和反应式威胁检测，以便能够采取行动保护 LPP 技术、数据和域。

发现阶段供应商申请数据提交的截止日期是 2019 年 12 月 10 日。分析需在八周内执行。

正如英国国家网络安全中心 (NCSC) 指出的，SOC 类型多样，覆盖整个事件管理全过程。

他们的产品横跨：

• 流量馈送集成、管理和审查
• 防护性监视
• 初步分类与分析
• 漏洞管理
• 告警与响应
• 事件管理
• 根源分析
• 补丁 & 修复
• 关联管理、安全信息与事件管理 (SIEM) 精调
• 持续改进
• 密钥管理

NCSC 在一份有用指南中为面临类似情形的公司企业提出了警示：警惕鼓吹自家 SIEM 是万灵丹的供应商……

先用脚本和日志证实了自身想法之后，才在 SIEM 中作开发的 SOC 分析师才是好 SOC 分析师。好供应商会有内容开发检查列表和标准申请流程，在您的 SIEM 中解释并实现规则集。别假定您的公司想要听到 SOC 的发现。您的 SOC 检测到了一些东西；谁会关心？您接下来将怎么做？在听取您 SOC 要求之前先回溯事件并验证您可实现每个阶段。确保您想要采取的动作是合法的，在内部策略范围之内。

当 SOC 进入运营阶段，资源开销会逐渐消失，但在供应商学着理解您公司运营方式的同时，会有大量误报产生。

相关阅读

SOC的四大弱点及其应对方案

如何避免踩到 SOC 运营中的六个“大坑”