在现代虚拟世界中，造成信息安全事件的来源为病毒、蠕虫或木马，不变的安全事件来源就是“人”。为因应各式各样攻击手法、符合政府或企业法规要求，企业采取各种信息安全科技，包含防毒、防火墙、主机型/网络型入侵防御系统、身分认证与存取权限管理系统及身分安全、VPN甚至网络存取控制等，各种技术提供现代化信息安全防护很好的解决方案，不依赖单一厂商或产品。

　　信息安全事件管理，包含监控、分析及反应，这些多样化科技的结合对企业也产生新的挑战，即是没有一个方式可以标准化、去重复化及关连这些存在于不同科技之事件。

　　此外，对于管理人员而言，通常管理防毒系统为一组人员，管理IPS为一组人员，而管理防火墙也许又为另一组。导致对于整体信息安全之管理产生“一人一把号，各吹各的调”的窘境，对于实时信息安全事件之关连分析也产生极大困难，由于要将上下游事件串起，于信息安全事件后之调查时间会格外地冗长。

　　有鉴于此，企业为了达到安全水平，需要建设一个集中式资源，以跨越及整合这些不同层面之信息安全产品及管理资源，达到监控、分析及快速响应，因此企业IT组织会建设信息安全监控中心(SOC, Security Operations Center)。以下将针对建设SOC应该考虑哪些层面、进行哪些准备及如何于人员、流程及技术上达到平衡进行说明。

　　为了SOC而SOC

　　企业为什么要建设SOC？为了符合政府或企业法规要求，很多企业为了建设而建设，当然政府或企业法规遵循也是企业目标之一，但一个成功的规划团队，必须针对不断变动的企业目标定义出建设SOC目标。

　　关于SOC 之任务，因应即将上路之个资法，SOC 重要任务又多了一项，能提供相关之证据举证，SOC 对于历史事件处理及保存，也扮演很重要的角色。而SOC另一个重要任务是实时对于信息安全事件管理，包含侦测、通报、处理及回报，而所应用的任务范围，根据不同企业商业需求来定义其维运架构，进而决定所需收容及管理之信息设备，即技术方法，可达到的任务及应用实务。

　　以”侦测内部员工之滥用行为”而言，根据统计调查，数据泄漏及信息安全危害所带来的影响，绝大部分来自于内部员工之滥用，由于内部员工了解企业信息环境，管理员甚至了解相关信息安全保护措施手法及范围，因此有心的恶意员工很容易规避信息安全规范。对于内部员工滥用行为之侦测，绝对是因应个资法第一着眼重点，对此SOC的侦测及处理重点如下：

　　-应用系统上尝试多次登入但失败之行为

　　-防火墙上侦测来自固定来源 IP 对于不同目标 IP 之存取但被拒绝之行为

　　-尝试对外异常联机，包含FTP、SSH、Remote Desktop等

　　-尝试更改防火墙、服务器或其它重要信息安全设备之重要设定

　　-非上班时间或异常时间之管理员账号登入

　　-非申请之使用管理员账号登入

　　孙子兵法：完善的程序及演练

　　SOC 程序与流程在人员与技术中间扮演缓冲角色，通常一个菜鸟信息安全分析师不知如何上手，而SOC具备一个好的程序及流程，信息安全分析师即可先照本宣科，进而慢慢上手。而且通常SOC系统技术在企业特别需求及要求上，有时很难从技术层面完成，程序及流程即可填补不足之处，以人工方式根据程序及流程指引来达成企业特别需求。

　　通常维运一个SOC需要非常多程序及流程，而CMMI(Capability Maturity Model Integration) 可以提供企业一个架构来进行维护及加强，对大部分组织而言，CMMI Level 3 应该是一个基本目标。

　　一旦程序与流程建立后，经常需要异动及更新，建议可以使用wiki文件系统来进行文件管理，且wiki可透过web接口提供使用者对文件内容实时动态修改或更新。也建议于SOC维运人员的监控屏幕上，设计两个画面，一个为信息安全监控所需画面，一个为程序及流程参考或搜寻画面。

　　SOC之流程，通常会将其分成下列四个主要象限，分别进行流程定义：

　　1.商业流程：定义所有能有效维运SOC的管理及行政程序。

　　2.技术流程：维护所有信息系统相关管理及设定。

　　3.维运流程：记录每天维运相关机制，如轮值班表、交班程序等。

　　4.分析流程：包含所有对信息安全事件的事中侦测及事后分析之相关流程定义。

　　当所有范围流程定义完成后，一个成熟的SOC必须经常进行模拟演练，模拟演练范围必须包含所有流程及程序，及相关定义的内外部组织。于模拟演练过程中，为了测试 SOC 于各种状况之反应，会放入很多模拟情境，并且于每次模拟演练结束后，所有相关之参与人员必须召开一个 “lessons and learned” 会议来检视所有短缺之处，如何于教育训练或者流程及技术方面进行加强。

　　先进的武器：SIEM必备的8大特性

　　曾经有客户跟笔者分享管理SIEM之心路历程好似电影世界末日的情节，美国太空总署发现一颗德州大小的陨石正朝地球方向飞来，而且只有18天的时间反应，而一群航天员背着炸弹自我牺牲，飞上太空将陨石炸毁，太空总署被质疑为什　那　晚才发现，太空总署回答因为预算不够，太空有那　多陨石需要观察，只好缩小范围。对SOC而言，挑战就是如何从各式各样且大量事件中，辨识出值得注意之事件，对于这些事件进行关联，进而达到信息安全分析师所能够处理之事件量，这就是SIEM (Security Information and Event Management)系统对建设SOC 的帮助。

　　SIEM系统必须承受如此大量事件量之收集，依照企业组织之大小，有时必须达到每秒钟上千笔事件之收集，通常SIEM 系统会有专门负责收集事件之收集器，收集器基本上具备以下功能：

　　-布署容易，不需更动原本网络架构，甚至不需新增硬件

　　-由于各种设备之通讯协议不同，为了收容各种设备，收集器必须支持各种设备之通讯协议以进行事件之收容，如Syslog、SNMP、ODBC 等。

　　-由于信息安全事件对于企业而言属机敏数据，必须于传输数据之过程中具有加密机制。

　　-由于企业网络架构之变更及成长频繁，对于事件之收容需具有相当之弹性，能够根据变动而改变，很容易进行事件收容之设定。

　　-企业内部设备事件流量若过大，为了事件收容时不影响正常营运的频宽，可以限制该收集器与SIEM系统传输之频宽。

　　由于SOC需要对信息安全事件进行关联分析，当事件收容进SIEM系统后，要能够达成关联分析之目标，SIEM系统本身必须具备有下列几项特性，以快速且正确达到实时关联分析之结果。

　　1.正规化，由于SIEM系统前端所收容之设备种类众多，为了正规化所有不同设备特性之事件，必须有足够字段设计，以存放正规化后不同设备特性之事件字段，以达成关联分析之结果。

　　2.事件分类，SIEM系统必须提供一个有弹性且完整的分类法则，让分析者很容易使用，并且于新信息安全设备事件之收容也能归类到其类别，并且保持整体类别之完整性及一致性。

　　3.容易关联分析，由于关联分析主要是为了于茫茫的事件大海当中，找出可疑且值得注意之事件，对于关联之方法或规则，必须很容易地设计且执行，例如一个系统上如果有数个使用者使用同一个账号登入但失败，很可能就是一个暴力登入尝试之攻击。

　　4.多层次事件之关联分析，为了能够精准地关联出异常且值得注意之事件，SIEM 系统必须能够关联不同设备之事件，攻击事件流量如果在防火墙上发现被允许进入，且于一定时间后发现被攻击的目标系统上有异常联机尝试连回攻击者来源 IP，极可能为类似木马行为，攻击者试着将获取之信息传回。

　　5.事件严重性分级，SIEM最重要的就是保护企业资产，对于资产价值甚至其弱点评估之信息，必须能够整合进SIEM系统，提供SIEM 足够信息进行关联，如同样的攻击事件对在线营运系统之事件严重程度就比攻击一般PC之事件严重程度来的高。

　　6.统计分析之关联，SIEM系统对于大量事件必须有统计分析能力，如异常高之通讯端口流量、异常高之通讯协议流量。

　　7.历史分析，常常于企业发生的信息安全事件，由于攻击手法精炼或者内部攻击者熟悉企业信息安全架构，很多事件未能马上被现行规则所关联，通常关联规则之逻辑会不断根据经验而更新，且于过去历史事件找出攻击逻辑后所制订之规则，通常需要于过去历史事件来进行验证是否能够生效，抓出该攻击特性，这时就需要使用历史事件之重新关联功能来验证。

　　8.现实与虚拟之关联，SIEM能对于现实环境之逻辑与虚拟世界之事件进行关联，例如同一个账号在很短之时间登入成功事件，但来源却来自于不同之区域或国家，或是登入成功之事件，但却于该企业非上班之时间。

　　总之，一个SOC架构建立及管理好坏与完整度，可以很明显呈现出该企业对于信息安全事件反应速度和程度。而一个完整的SOC不仅可以对信息安全事件管理节省更多设备投资及人力，并可以符合相关法规要求。然而SOC对于信息安全事件的发现及响应的有效性及方便性，必须于人员、流程及技术进行三方面完整考虑，期许我们不要成为自我牺牲炸毁陨石的航天员。虚拟世界中，所有事情及行为就是事件记录，一个完整的 SOC，能决定我们与真相的距离有多近。