<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Dear Naqvi,<div><br></div><div>One consideration not directly on the presentation. </div><div><br></div><div>The project is slow moving, we could list the initial points and focus on writing the basic documents and setup a calendar to check if the project is running forward.</div><div><br></div><div><br></div><div>Regarding the presentation, my opinion:</div><div><br></div></div></div></div></div></div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><div><div><div><div><div>1.<span style="white-space:pre">        </span> On the modals type the fact that is centralized don't dictates how many set of dashboards in my vision, you could have a centralized SOC, with one Team, one HQ, but multiples set of dashboards and even dashboards for specific customers, or compliance. (Page 4 & 5)</div></div></div></div></div></div></div><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>2.<span style="white-space:pre">        </span>Another point is the 24x7 its not on the Page 4 slide, if its a global organization or a organization selling SOC services globally, i think is cheaper to have one team in one place 24x7 than have multiple teams with different timezones (Follow the Sun on slide 5)</div></div></div></div></div></div><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>3.<span style="white-space:pre">     </span>As if I’m correct on point 2, it’s no good to say that Distributed SOC is the best SOC for Global Organization, i think this recommendation is bad because it depends on a lot of factors, should the organization have Pentesters on all locations? Reverse Malware Engineers on all locations? This could be a very expensive option and probably not 100% the best strategy.</div></div></div></div></div></div><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>4.<span style="white-space:pre">      </span>I think it should have an organizational chart as example, and discuss which positions could be remote or could be shared between locations.  Mittre has a book called "Ten Strategies of a World-Class Cybersecurity Operation Center" (link) on page 45 there is a basic example for the chart, the full organization is discussed on the section 4.2, and in the page 68 there is an example of a SOC integrated with minors SOCs remotely.</div></div></div></div></div></div><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>5.<span style="white-space:pre">    </span>I recommend the reading of the book above, and the use of this book as a guideline for the project.</div></div></div></div></div></div><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>6.<span style="white-space:pre">  </span>Also the Centralized and Distributed SOC is a discussion for in-house SOC ( maybe in Hybrid?), so maybe you could separate in the slide 3 the points, my suggestion:</div></div></div></div></div></div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><div><div><div><div><div>•<span style="white-space:pre">   </span>In-house</div></div></div></div></div></div></div></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><div><div><div><div><div>o<span style="white-space:pre">    </span>Centralized</div></div></div></div></div></div></div></blockquote></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><div><div><div><div>o<span style="white-space:pre"> </span>Distributed</div></div></div></div></div></div></blockquote></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><div><div><div><div>•<span style="white-space:pre"> </span>Managed</div></div></div></div></div></div></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><div><div><div><div>•<span style="white-space:pre">        </span>Hybrid</div></div></div></div></div></div></blockquote><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>7.<span style="white-space:pre">    </span>I didnt understood the slide 7, the constituency, are you talking about in-house SOC constituency? If so why there a topic saying external?  Is a SOC Type? I don’t know and didn’t find anything related on the internet.</div></div></div></div></div></div><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>8.<span style="white-space:pre">      </span>I think the Hybrid SOC could be the second to be presented, it had part of the In-House SOC and part of Managed SOC, so it could be more clear to the audience to make a link between the types</div></div></div></div></div></div><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>9.<span style="white-space:pre">      </span>On the slide 8, the Managed SOC, another risk is that sometimes it could be out of compliance, so for example you need to check where the vendor is and where the data is stored, some countries has a requirement that the data has to be stored physically in the country.</div></div></div></div></div></div><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>10.<span style="white-space:pre">        </span>In slide 10, Authority, in Proactive it could include maybe the threat hunting part.</div></div></div></div></div></div><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>11.<span style="white-space:pre">        </span>In slide 16, you could add External Feeds, (Taxii and other formats) and OSINT, IOCs and IOAs collections</div></div></div></div></div></div><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>12.<span style="white-space:pre">   </span>In slide 19, you could add UEBA, or UBA.</div></div></div></div></div></div><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>13.<span style="white-space:pre">    </span>In slide 22, in the Analysis probably it could be defined a signature for the malware or the attack, at least define some IOCs or IOAs</div></div></div></div></div></div><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>14.<span style="white-space:pre">      </span>In slide 24, the response is probably connected to the IOCs, IOAs or signatures created in the Analysis part.</div></div></div></div></div></div><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>15.<span style="white-space:pre">       </span>In the slide 29, about  the signatures it could be a validation of the signature and replication of the signature for others (if needed), also I think it’s the moment to check the metrics of the incident.</div></div></div></div></div></div><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>16.<span style="white-space:pre">     </span>In slide 30, two important metrics are MTTD (Mean time to detect) and MTTR (mean time to respond)</div></div></div></div></div></div><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>17.<span style="white-space:pre">   </span>In slide 31, it’s very important to have template reports for each service, and the frequency for this reports delivery and for who this reports should go. Eg: Its very very important to have frequent reports with metrics for the stakeholders</div></div></div></div></div></div><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>18.<span style="white-space:pre">        </span>I think it’s important in a moment in the presentation explain which documents are a must in every SOC, such as, a SOC Chart, a SOC Roles & Responsibilities, Tools procedures etc..</div></div></div></div></div></div></blockquote><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div><br></div></div></div></div></div></div></div><br><div class="gmail_quote"><div dir="ltr">Em sáb, 6 de out de 2018 às 05:00, Muhammad Naqvi <<a href="mailto:muhammad.naqvi@owasp.org">muhammad.naqvi@owasp.org</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">Dear Project Team, <div dir="auto"><br></div><div dir="auto">Please send your feedback/ comments on the presentation latest by 15th October.</div><div dir="auto"><br></div><div dir="auto">Regards</div><div dir="auto">Muhammad Faisal Naqvi</div></div>
_______________________________________________<br>
OWASP-SOCFramework-Project mailing list<br>
<a href="mailto:OWASP-SOCFramework-Project@lists.owasp.org" target="_blank">OWASP-SOCFramework-Project@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-socframework-project" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-socframework-project</a><br>
</blockquote></div>