當前安全工具并不能應對所有的數據的問題：OpenSOC呼吁大數據技術和開源技術。

幾年前，行業媒體DarkReading的執行編輯凱利•杰克遜•希金斯表示安全專家最想知道，但不想承認的事，“有越來越多的宿命感：它不再是如果或當你遭受過黑客攻擊，而其前提是假設你必須已經被攻擊，重點是盡量減少損害。”

然而這不是數據中心運營商所希望聽到的。

不要放棄

技術先進的對手顯然有能力戰勝當前最佳實踐安全系統，這可能助長人們這種無能為力的感覺。然而，思科公司為了其信用并不準備放棄。思科服務公司2014發布《托管威脅防御》旨在保護客戶免受已知的入侵，零日攻擊和高級持續性威脅。

思科公司產品安全事件響應團隊（PSIRT）首席工程師奧馬爾•桑托斯表示，為了使托管威脅防御具備可行的威懾力，思科制定了以下規則（博客文章）：

•能夠捕獲完整的數據包級數據，并提取協議元數據，以創建每個客戶網絡的獨特配置文件。

•全球網絡安全運營中心將獲得黑客的活動警報

•該技術將警報數據，企業的資料，以及思科的威脅情報結合在一起，創建一個行動計劃

幾乎同時，思科分析師注意到，報警數據需要處理量遠遠超過他們的設想。其服務的客戶數據泛濫，其中包括一些大型企業組織。分析師不能從簡單的日志條目分離出重要的信息。

現有的方法太慢

由于捕獲的數據量，對手能夠利用一些時間來分析英特爾，并制定響應所需的長度。“如果產生一個突破口，泄露敏感的客戶信息，或知識產權受到損害，企業業的聲譽、資源、知識產權則面臨更大的風險。”對于思科公司這個博客文章，思科安全解決方案前經理人巴勃羅•薩拉薩爾解釋說。“快速識別和解決問題的關鍵，但傳統的方法來安全事故的調查可能會很耗時。”

據薩拉薩爾傳統方法需要研究：

•從安全事故和事件管理報告（以及運行批查詢的其他情況下的其他遙測源）

•外部威脅情報來源，以揭露主動警告潛在的攻擊

•為了確定背景下的網絡取證工具全包捕獲和歷史紀錄

為了應對數據過載，以及為客戶提供更好的服務托管威脅防御，思科公司和Hortonworks公司開發了安全分析框架OpenSOC。

分析平臺

OpenSOC架構（Cisco和OpenSOC項目）

OpenSOC采用大數據分析和機器，提供了一個應用程序異常檢測和事件取證平臺，“通過集成在Hadoop生態系統，如Storm、Kafka,以及Elasticsearch；OpenSOC提供一種整合能力的可擴展的平臺，如全方位捕獲索引，存儲，數據豐富，流處理，批量處理，實時搜索，以及遙測聚集。”薩拉薩爾說，“它還提供了一個集中的平臺，使安全分析師檢測和快速應對先進的安全威脅。”

OpenSOC關鍵要素

為了將原始數據轉化為可操作的信息，盡快，薩拉薩爾表示OpenSOC開發團隊專注于三個關鍵要素：

•語境：

企業的首要任務是管理捕獲的大量數據。“OpenSOC攝取的數據并將其推送至各個處理單元的先進計算和分析，提供安全保護的必要環境和高效的信息存儲能力，”薩拉薩爾寫道。“它提供可視性和成功的調查，修復和取證工作所需的信息。”

•實時

分析數據與實時數據一樣重要，搞清楚什么是可操作的數據。這意味著，在大規模應用威脅智能感知系統，地理定位，以及DNS信息的收集的數據。如果它能工作，分析師可以根據準確及時的信息做出決定。

•集中視角

如果沒有一個可以理解的格式，可以快速準確地獲得正確的信息。“該接口呈現出了威脅情報和豐富的數據，在一個單一的頁面發布警告摘要。”薩拉薩爾補充說。“先進的搜索功能和完整的數據包提取工具可用于調查，而無需在多個工具之間進行周轉。”

簡單地說，薩拉薩爾指出的是，通過使用OpenSOC，安全分析師可以通過一個單一的工具瀏覽他們的重要數據，并避免艱難應對海量的非結構化數據。“它可以根據采集和查看任何遙測，無論是專門的醫療設備或銷售設備的定制點，”薩拉薩爾建議說，“通過利用Hadoop，OpenSOC還具有積木規模的數據收集、存儲量，并分析了基于網絡的需要。”

一個開源項目

2014年，思科和Hortonworks公司發布開源的OpenSOC。不久后，該OpenSOC項目啟動，“該OpenSOC項目是一個協作開發項目，致力于提供一個可擴展的先進的安全分析工具。”OpenSOC項目網站上表示，“ApacheHadoop框架具有堅實的基礎，并重視以高品質社區為基礎的開放源碼開發。”

目前OpenSOC框架提供以下功能：

•用于連接OpenSOC擴展和解析器監視任何遙測源

•為任何遙測數據流擴展充實框架

•在任何遙測數據流中，異常檢測和實時規則為基礎的警報

•Hadoop支持的存儲遙測數據流，可自定義保留時間

•由彈性搜索支持的遙測數據流的自動實時索引

•遙測相關和SQL查詢能力以支持Hive存儲在Hadoop中的數據

•ODBC/JDBC兼容，并與現有的分析工具整合

•設計規模為處理每秒數百萬的消息

這是那些參與OpenSOC項目，該框架將繼續發展，提高組織應對安全事件響應能力。為此，該項目有以下目標：

•要為高級安全分析工具的發展提供了一個協作的開源社區

•鼓勵公開交流，以改善其他功能和鑒定的不足之處

•識別功能的增強以提高OpenSOC

開放式SOC是一個集成了安全工具、大數據捕獲和機器學習的開源項目。然而，為了應對黑客攻擊，該項目是一項正在進行的工作，OpenSOC項目成員將加強建設與發展，并實施支持幫助。

文章來源：機房專用空調 http://www.arf007.cn