The hacker news發佈了一篇如何使用 Tines 的 SOC 自動化能力矩陣
SOC 自動化能力矩陣(SOC ACM)是由工作流程和自動化平台 Tines 的 John Tuckner 和團隊設計的一套技術,旨在幫助安全運營團隊了解他們的自動化能力,並更有效地應對事件。這是一個可定制的、廠商無關的工具,提供了自動化機會的清單,推出以來,就受到了安全社區成員的分享和推薦,尤其是 Airbnb 工程師 Allyn Stott 在他的 BSides 和 Black Hat 演講中,介紹了如何學會放心並建立一個現代的檢測與回應計劃。
SOC ACM 被比作 MITRE ATT&CK 和 RE&CT 框架,有一位用戶說,「它可以是 SOAR 自動化的分類標準,有點像 RE&CT 框架,但更注重自動化。」它已經被金融科技、雲安全等領域的組織用作評估和優化他們的安全自動化計劃的基礎。在這裡,我們將更詳細地介紹 SOC ACM 的工作原理,並分享您如何在您的組織中使用它。
什麼是 SOC 自動化能力矩陣?
SOC 自動化能力矩陣是一個互動的技術集合,使安全運營團隊能夠主動應對常見的網絡安全事件。它不是一個與任何一個產品或服務相關的特定用例的清單,而是一種思考組織可能遵循的能力的方式。它為初學者提供了一個堅實的基礎,以了解安全自動化的可能性。對於更先進的計劃,它可以作為未來實施的靈感來源,一個衡量成功的工具,以及一種報告結果的方法。
雖然這個工具是廠商無關的,但它與像 Tines 這樣的平台很好地配合,Tines 是由安全從業者開發的,幫助同行自動化他們的關鍵流程。
SOC 自動化能力矩陣是如何運作的?
SOC ACM 分為包含自動化能力的類別。每個能力包括:
- 描述 - 對能力正在做什麼的簡要概述
- 技術 - 實現能力的技術無關的想法
- 例子 - 來自 Tines 庫的相關工作流程模板
- 參考 - 對能力有貢獻的其他研究
該框架從左到右,從上到下讀取類別內的內容。雖然它對哪些能力帶來最大價值或更容易實現的意見不多,但該框架可以適應組織認為最有價值的內容。每個能力都可以在矩陣中獨立存在,但將多個能力結合在一起可以產生更複雜和更有影響力的結果。
如何使用 SOC 自動化能力矩陣
接下來,我們將舉例說明如何使用 SOC ACM,以釣魚回應為例。
釣魚回應是一個常見的安全自動化用例,也是 SOC ACM 中的一個類別。該類別包含了以下的能力:
- 釣魚信件分析 - 從收到的釣魚信件中提取有用的信息,如發件人、主題、附件、鏈接等。
- 釣魚信件分類 - 根據釣魚信件的特徵,將其分為不同的類型,如商業電子郵件詐騙(BEC)、偽造網站、恐嚇等。
- 釣魚信件回報 - 將釣魚信件的詳細信息發送給相關的團隊或部門,如 SOC、法律、公共關係等,以便採取適當的行動。
- 釣魚信件阻止 - 阻止釣魚信件進入組織的郵件系統,或從已受影響的郵箱中刪除釣魚信件。
- 釣魚信件追蹤 - 跟蹤釣魚信件的來源、目的地和影響範圍,以評估威脅的嚴重程度和潛在的損害。
- 釣魚信件教育 - 向組織的員工提供釣魚信件的識別和預防的培訓和測試,以提高他們的安全意識和技能。
要使用 SOC ACM,您可以選擇一個或多個能力,並根據您的需求和資源來實現它們。例如,如果您想要自動化釣魚信件的分析和分類,您可以使用 Tines 的 [Phishing Email Analysis] 模板,它可以從郵件中提取元數據,並使用 [VirusTotal] 和 [Google Safe Browsing] 來檢查附件和鏈接的安全性。然後,您可以使用 Tines 的 [Phishing Email Classification] 模板,它可以使用 [TensorFlow] 和 [BERT] 來對郵件的內容進行自然語言處理,並將其分為不同的類別,如 BEC、偽造網站等。這些模板都可以在 Tines 的平台上輕鬆定制和部署,並與您現有的郵件系統和安全工具集成。
SOC 自動化能力矩陣是一個有用的資源,適用於自動化旅程中的各個階段的團隊,為他們的下一個自動化構建提供靈感,並提供一種評估
詳情請看: