SOAR该独立建还是被集成;公司门店数据安全该怎么管理 | FB甲方群话题讨论
💡
原文中文,约6300字,阅读约需15分钟。
📝
内容提要
本文讨论了SOAR平台建设和企业门店数据/信息安全管理。讨论了独立建设和集成现有安全设备的方式,以及推动建设的安全建设阶段。还提到了提高检测能力、改进告警整合和处置流程等基础问题。讨论了使用SDP技术进行终端安全管理和加强对平台数据的管控。最后回答了用户授权和证书管理的问题。
🎯
关键要点
- SOAR平台建设可以独立进行,也可以通过集成现有的SOC、SIEM等安全设备。
- 在建设SOAR之前,应解决基础问题,如提升检测能力、改进告警整合和处置流程。
- 设计自动化场景时,可以结合日常运营经验和SOP,形成SOAR处置流程。
- 对于态势感知平台的误报问题,可以利用SOAR查询ES进行二次判断,增加确认步骤以规避误报对业务造成影响。
- 对接不同厂商的安全设备可能需要定制开发,开箱即用的情况较难实现。
- 公司门店的数据/信息安全管理可以使用SDP技术进行终端安全管理,尤其是加盟门店。
- 在没有终端的情况下,需要重点保护SaaS系统的安全。
- 用户授权和证书管理的问题需根据具体场景进行分析,敏感信息收集需要重新授权。
- 通配符证书在管理上更方便,但可能存在安全风险,单域名证书安全性更高但成本也更高。
- 容器资产的管理难度较大,生命周期短,需关注Node层面。
- 应用日志的敏感数据处理需进行脱敏,具体措施可根据公司业务形态制定。
➡️
