SOC系统规划

做安全2年多,前期做web渗透，后期做安全开发，准备将自己用的系统和一些开源的系统整合成一套，统一管理，方便使用。业余整理了一下。如图：

一条一条的来介绍一下吧！
1.sec漏洞管理是安全最基础的系统搭建了。毕竟每天都面对这漏洞的产生和修复。这个中间流程也变的多了起来。漏洞待认领，漏洞已认领，漏洞修复中，漏洞已修复、漏洞被驳回、这样的一个闭环的实现，我们通过钉钉工单使其成为一个闭环。其次是SDL的实现，新业务上线前的安全提测也是该系统的子功能，每一个漏洞要当做一个工单来看待。
2.日志监控 是由业务需求产生的一个系统，有些公司运维就提供了。我们就安全来主导做这件事情。也就是ESalert，监控ES里面的日志，匹配到规则报警，业界也有一些做的不错的开源产品。做完这个系统，我们就衍生出对用户堡垒机审计的需求也可以实现了。在这个系统的开发部署中，我们要注意的一点是一定要推动运维的ES是有存日志的post请求内容的，cookie不强求。当然越多越好了。
3.nginx waf 是我们关注的第三个产品,第一层防御是阿里云的waf，第二层防御是我们自己开发的nginx waf,业界开源的产品做的也挺好，可以使用。(话外音,打算结合自己学习的人工智能在日志里面再进行一次日志的审核)这样的三轮防御 是不是可以叫纵深防御呢。然后AI发现的异常可以再反哺给我们的waf
4.代码审计 同事研发，也是采用业界开源的产品,看效果，最后也会以工单的形式形成一个闭环。目前这个系统不做过多的讲解。接口
5.资产查询 为什么说这也是一各独立的子系统呢。其实我们需要查的内容实在太多了。1.我们要保证漏洞的准确无误发送到负责人手里，一定要能准确的拿到负责人信息，这个需要调用op的资产信息或者是nginx配置信息，有些责任人是某一个链接下的是某一个负责人，无法直接根据域名判断出负责人。2.其次呢 是IP查询，公司员工的IP查询，日常经常会有一些内部员工计算机的IP在搞一些事情，他们会找我们查是谁在扫。这时候我们也需要一个能查公司员工ip的接口 3.知识库建设,这点我觉得意义也同样特别的大,公司的业务IP肯定有不少是恶意的爬虫或者是代理IP或者是恶意IP，这种情况下我们也需要收集一些恶意的IP，有开源的工具收集一些的，可以拿来用，其次呢是 我们自己对业务线用户IP进行检测，检测方式也是业界公开的：

反向探测技术：扫描IP是不是开通了80,8080等代理服务器经常开通的端口，显然一个普通的用户IP不太可能开通如上的端口。

HTTP头部的X_Forwarded_For：开通了HTTP代理的IP可以通过此法来识别是不是代理IP；如果带有XFF信息，该IP是代理IP无疑。

Keep-alive报文：如果带有Proxy-Connection的Keep-alive报文，该IP毫无疑问是代理IP。

查看IP上端口：如果一个IP有的端口大于10000，那么该IP大多也存在问题，普通的家庭IP开这么大的端口几乎是不可能的。

这都是业界公开的检测方式。可以将异常的IP入库反馈给业务线。最后一个就是调用微步在线的API检测,有一点点限制,其实还好。这是IP层面的查询。目前只做这些吧
6.内网巡风。这是在我们内网定期巡检的，经过若干个月的使用，效果还是非常好的一款开源产品，需要做的就是去掉自身的登录认证，接入我们自己的登录认证体系中，更加的方便使用以及发现异常的时候接入报警
7.git巡检 这个的意义也是非常的大，经常的会发生一些事情。真的是谁都是不可信的。这点也是采用开源的git巡检，有一些做的非常好哦。
8.驭龙 这个开源的系统我们测试也有小半年了，效果还不错。不过把这个系统接入进来还是有点小吃力。除非真正上线了，不然暂时不考虑发大力气搞它。
9.漏洞检测 这个子系统的设想其实是源于公司要把一些基础的安全的安全测试交给测试的同学来做。其实这对安全来说是好事情,可是如何让他们把这个工作做好呢。作为一名开发,我的想法当然是平台化,给他们一个入口，然他们输入一下数据直接后台检测，比他们自己检测来得快效果也更好。其实业界也有很多好用的SQL注入XSS检测平台。接入进来做个人性化的界面就好。这就是双赢。
10.数据安全 这个子系统其实是源于我们正在测试的乙方的安全产品，使用效果还不错，不知道是否可以模仿一个。这也算是自己的一个规划。是觉得并不是那么的就遥不可及。规划还是要有的
11.定时任务 这个模块其实是一个先见之明，随着系统的做大，肯定是伴随着越来越多的定时任务，crontab 如果不做成一个平台化的东西，后面工作交接可能就是个麻烦事情。因为经历过。所以自己更觉得这个东西必须也做成平台化的。也有很多开源的好产品，python+celery 可是非常好的实现
12.AI安全 这个子系统自己一定会做，目前还在储备，结合兜哥安全三部曲，我们可以实现很多了不起的东西。所以这个也在自己的规划中有所体现，在AI方面自己更想做业务安全的东西，资源实在是太少了。只能另辟蹊径。
13.权限控制是这个系统最和核心的东西，做安全要是自己的系统都不够安全说出去都打脸。所以这个前期都会规划好。同时使用上也是便捷的。
14.最后一点是系统设置，系统设置其实也是为了让整个系统变得更加的理想化，有很多配置文件将手动改为web端操作，比如邮箱账号密码等的设置。这也是非常有必要的。
目前整套系统自己能想到的就是这么多，局限于工作年限太少了，体会还不是那么深刻吧。AI是一个大的领域。这个方向也是自己现在业余学习占用最多的方向。谈到学习，其实我想说，工作和生活要分得开，在家一定要多学些，然后工作的使用用出来。在家就尽量不要工作了。多充电吧。