培训对象:安全运营工程师、SOC分析师、安全管理层、需要建设和运营企业安全运营中心的技术与管理人员。
培训目标:
理解SOC(安全运营中心)的核心功能与建设要素,掌握SOC的架构设计与部署方法。
掌握日志采集、关联分析、告警处置、威胁狩猎等SOC日常运营技能。
建立安全运营指标体系(KPI)与持续改进机制,提升SOC的运营效能与价值。
培训内容介绍:
SOC概述与价值:理解SOC的定义、功能与价值(集中监控、统一响应、持续改进),对比SOC与NOC的差异,分析不同类型SOC(自建、托管、云SOC)的优缺点。
SOC架构设计:学习SOC的架构组件(数据采集层、分析层、展示层、响应层),设计数据采集方案(日志、流量、告警),选择合适的技术平台(SIEM、SOAR、UEBA)。
日志接入与标准化:掌握主流设备(防火墙、IDS、服务器、应用)的日志接入方法,进行日志标准化处理(解析、富化、归一化),建立日志质量监控机制。
关联分析规则配置:编写安全关联分析规则(基于时间、基于统计、基于场景),检测异常行为(暴力破解、横向移动、数据外传),减少误报与漏报。
告警分级与处置流程:建立告警分级标准(高危、中危、低危),制定标准化的告警处置流程(Triage、分析、响应、关闭),使用工单系统跟踪处置过程。
威胁狩猎(Threat Hunting):理解威胁狩猎的主动防御理念,掌握威胁狩猎的方法(基于IOC、基于TTP、基于数据分析),定期开展威胁狩猎活动。
SOAR自动化响应:部署安全编排自动化与响应(SOAR)平台,设计自动化剧本(Playbook),实现告警的自动化处置(IP封禁、进程查杀、账号锁定)。
用户实体行为分析(UEBA):了解UEBA的技术原理(机器学习、行为基线),配置UEBA检测内部威胁(账号异常、数据泄露、特权滥用)。
威胁情报集成:接入外部威胁情报源(商业、开源),将威胁情报与SIEM关联,提升告警的准确性与时效性。
安全态势感知:构建安全态势感知仪表盘,实时展示安全事件、资产风险、告警趋势、运营指标,为管理层提供决策支持。
SOC运营指标体系:建立SOC运营KPI(告警量、误报率、MTTD、MTTR、闭环率),定期统计分析与改进。
综合实战:在模拟SOC环境中,完成从日志接入、规则配置、告警分析、应急响应到报告编写的全流程演练。
