威胁情报中的一些基础概念

信息安全 TIAN 518℃ 0评论

什么是IOC?

IOC是英语”Indicator of compromise”的缩写,可以直译为“感染指标”。在计算机取证中,一般为在网络流量中或者操作系统上观察到的能高度表明计算机被入侵的痕迹。典型的IOC有病毒特征(如杀毒软件寻找的字节序列)、恶意样本的Hash值、C&C服务器的IP地址、域名、URL等,其他能代表恶意软件感染的异常行为也可以归为IOC中。

什么是SOC?

SOC是英语”security operations center”的缩写,中文名为“安全管理平台”,在企业中它是监控、维护信息系统的一个关键的平台。它可以把企业内部的网络设备、服务器、安全设备甚至是业务系统全部接入到一个平台中,并通过日志的收集和分析发现和解决异常行为。

什么是SIEM?

SIEM是英语”security information and event management”的缩写,中文名为“安全信息和事件管理”。主要侧重于实时监控和事件处理以及历史日志分析和取证两个方面。SOC从各式各样的事件中,辨识出值得注意的事件,并对这些事件进行关联,这就是SIEM。SOC比SIEM层面要大,更着重于安全平台的建设;企业通常将SIEM视为支撑SOC的基础。

转载请注明:老田博客 » 威胁情报中的一些基础概念

喜欢 (3)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址