Книги про проектирование, построение и эксплуатацию SOCов

SecOps
А мы продолжаем нашу эпопею, посвященную SOCам. Вообще, сегодня, в день проведения SOC-Forum, я не хотел ничего писать про них, отдав место под другую публикацию. Но совершенно случайно, хотя очевидно, что Google подсовывает в выдаче явно не случайную выборку ссылок, я наткнулся на опубликованную неделю назад книжку «Security Operations Center: Building, Operating, and Maintaining your SOC«.

Я ее читал еще до публикации и могу поделиться краткими впечатлениями. Книга разбита на пять частей, первая из которых вводная, а остальные 4 посвящены четырем этапам жизненного цикла SOC — планированию, дизайну, построение и эксплуатации.

Первая часть посвящена обзору проблем с ИБ, описанию 4-х поколений SOCов (чем сложнее атаки, тем более взрослое поколение SOCов позволит эти угрозы обнаруживать и нивелировать), моделям зрелости, оценке эффективности SOC, сложностям реализации и другим вводным и обзорным темам. В ней же приводится и обзор технологий, используемых современными SOCами, — сбор данных, управление уязвимостями, Threat Intelligence (я про это сегодня на SOC-Forum буду рассказывать), соответствие требованиям, управление кейсами и взаимодействие.

4 поколения SOC

В остальных частях более подробно раскрываются каждые из рассмотренных в первой части тем — с примерами, описанием нюансов реализации, плюсов и минусов, областью применения. Плюс книги — в ее свежести. Опубликованная на днях, она написана в этом году и поэтому базируется на самых последних достижениях в этой области.

Разумеется не обошлось и без погружения в терминологию, о которой я уже тут писал, и о которой вчера написал Эльман Бейбутов на Anti-Malware. Не буду сейчас описывать, что же авторы книги имели ввиду, говоря про SOC, SIEM, SIM, SEM, CSIRT и другие термины, а то опять погрязнем в терминах, забыв о главном.

Ну и нельзя не сказать, что в книге много примеров «про Cisco». Поэтому книга может быть вдвойне интересна тем, кто строит свою инфраструктуру на решениях этой компании (два из трех авторов трудятся в Cisco), и чуть менее интересна всем остальным. Хотя в ней немало и вендор-независимых советов и рекомендаций.

Раз уж нашлась одна книга, стал искать и другие. Нашел. Но только еще одну. Называется «Designing and Building a Security Operations Center«.

Эта книга совершенно иная — в ней 11 частей, каждая из которых посвящена своей теме:

  • Эффективные операции 
  • Идентификация целевой аудитории для SOC
  • Инфраструктура SOC
  • Оргструктура
  • Персонал и взаимодействие с другими людьми
  • Ежедневные операции
  • Тренинги
  • Метрики
  • Threat Intelligence
  • Аутсорсинг.
В отличие от предыдущей книжки, систематизированной по этапам жизненного цикла центра управления ИБ, данный манускрипт больше похож на свод правил «делай так и не делай вот так». Такое впечатление, что автор свои записи «по теме», сделанные на стикерах, просто собрал вместе, как-то разбил по главам, и опубликовал в виде книги. Не скажу, что книга от этого стала хуже — даже наоборот; она интересна именно своей практичностью и примерами.
Пример главы «Ежедневные операции»
Завершает книгу перечень всех функций SOC, которые должны быть реализованы в от одной и до четырех областей — сеть, узел, приложение и данные.
Резюмируя, скажу, что выделить какую-то из этих двух книг я не могу; они обе хороши. Одна своей систематизацией; вторая — набором практических советов (хотя они безусловно есть и в первой книге). Поэтому использовать их можно в паре.
С содержанием обеих книг можно ознакомиться с помощью сервиса Google.Books:
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).