<div dir="auto"><div dir="auto">Dear Eduardoeo, </div><div dir="auto"><br></div><div>No problem, and thank you for explaination. </div><div dir="auto"><span style="font-family:sans-serif"><br></span></div><div dir="auto"><span style="font-family:sans-serif">Point 7</span></div><div dir="auto"><font face="sans-serif">This framework can be used by Service Provider too, so no need to focus only companies. </font></div><div dir="auto"><font face="sans-serif"><br></font></div><div dir="auto"><font face="sans-serif">Rest is OK. </font></div><div dir="auto"><br></div><div dir="auto">So now will you incorporate these changes in the presentation?</div><div dir="auto">Once changes are incorporated and finalized then we will upload this presentation. And will ask from the project partcipants to pick the slides from the presentation to write the details within given timeline. Then after review of details we will upload the document. Sounds good?</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">Regards</div><div dir="auto">Faisal</div><div dir="auto"><br></div><div dir="auto"><font face="sans-serif"><br></font></div><div dir="auto"><br><div class="gmail_quote" dir="auto"><div dir="ltr">On Mon, Nov 19, 2018, 4:16 PM Eduardo estevao <<a href="mailto:eduardoeo.azevedo@owasp.org">eduardoeo.azevedo@owasp.org</a> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div dir="ltr">Hi Muhammad, <div><br></div><div>Thanks for the answer.</div><div><br></div><div>I'll copy below just the points with questions.</div><div><br></div><div>Point 7:</div><div><span style="color:rgb(76,175,80)">External SOCs can't be centralized or distributed? </span> </div><div>Its not that External SOCs can't be centralized/distributed, i think its just not the point here, if the company is going to use a External SOC it usually don't matter the constituency of the External SOC, i think (in my vision) its out of scope in this case.<br></div><div><br></div><div>But this is something that we should discuss during the project, once again we should setup goals and build the content during the construction of the project.</div><div><br></div><div>Point 10:</div><div><br></div><div>My mistake, its probably an idea to put the Threat Hunting part on slide 11 in the process, or it could be discussed between Passive Identification/ Active Identification, basicly my idea is to also include the Threat Hunting on the process.</div><div><br></div><div>Point 18:</div><div><br></div><div>I agree its not a standard, but we should recommend maybe with differences between low/medium/high recommendation on a document, but its not only related to the presentation, the project should state which documents needs to be created to have a SOC in place, thats the main idea right? help to build a SOC, maybe have a few models.</div><div><br></div><div><br></div><div>I think is important besides the presentation to setup and start the project in a more structured way.</div><div><br></div><div><br></div><div>Best regards,</div><div><br></div><div>Eduardo Azevedo</div><div><br></div><div><br></div><div><br><br><div class="gmail_quote"><div dir="ltr">Em dom, 11 de nov de 2018 às 14:31, Muhammad Naqvi <<a href="mailto:muhammad.naqvi@owasp.org" target="_blank" rel="noreferrer">muhammad.naqvi@owasp.org</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div>Hi Eduardo,<div dir="auto"><br></div><div dir="auto">Thank you for the feedback, please find below my inline response in <font color="#4caf50">Green</font>:</div><div dir="auto"><br></div><div dir="auto">Please let us know will you incorporate this feedback in the presentation? </div><div dir="auto"><br></div><div dir="auto">Hi Павел Таратынов, <br></div><div dir="auto"><br></div><div dir="auto">I hope your points have also been adressed. </div><div dir="auto"><br></div><div dir="auto">Regards</div><div dir="auto">Faisal</div><br><br><div class="gmail_quote"><div dir="ltr">On Sat, Oct 13, 2018, 4:09 PM Eduardo estevao <<a href="mailto:eduardoeo.azevedo@owasp.org" rel="noreferrer noreferrer" target="_blank">eduardoeo.azevedo@owasp.org</a> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Dear Naqvi,<div><br></div><div>One consideration not directly on the presentation. </div><div><br></div><div>The project is slow moving, we could list the initial points and focus on writing the basic documents and setup a calendar to check if the project is running forward.</div><div><br></div><div><br></div><div>Regarding the presentation, my opinion:</div><div><br></div></div></div></div></div></div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div><div>1.<span style="white-space:pre-wrap">      </span> On the modals type the fact that is centralized don't dictates how many set of dashboards in my vision, you could have a centralized SOC, with one Team, one HQ, but multiples set of dashboards and even dashboards for specific customers, or compliance. (Page 4 & 5)</div></div></div></div></div></div></div></blockquote></div></blockquote></div></div><div dir="auto"><font color="#4caf50">Agreed to remove this point</font></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>2.<span style="white-space:pre-wrap">        </span>Another point is the 24x7 its not on the Page 4 slide,</div></div></div></div></div></div></blockquote></div></blockquote></div></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div>if its a global organization or a organization selling SOC services globally, i think is cheaper to have one team in one place 24x7 than have multiple teams with different timezones (Follow the Sun on slide 5)</div></div></div></div></div></div></blockquote></div></blockquote></div></div><div dir="auto"><span style="color:rgb(76,175,80);font-family:sans-serif">Agreed lets add 24X7</span><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>3.<span style="white-space:pre-wrap">    </span>As if I’m correct on point 2, it’s no good to say that Distributed SOC is the best SOC for Global Organization, i think this recommendation is bad because it depends on a lot of factors, should the organization have Pentesters on all locations? Reverse Malware Engineers on all locations? This could be a very expensive option and probably not 100% the best strategy.</div></div></div></div></div></div></blockquote></div></blockquote></div></div><div dir="auto"><font color="#4caf50">Agreed that not the best approach, so lets rephrase last 2 points</font></div><div dir="auto"><font color="#4caf50">Follow the sun approach may be followed by a global organization to avoid shifts</font></div><div dir="auto"></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>4.<span style="white-space:pre-wrap">     </span>I think it should have an organizational chart as example, and discuss which positions could be remote or could be shared between locations.  Mittre has a book called "Ten Strategies of a World-Class Cybersecurity Operation Center" (link) on page 45 there is a basic example for the chart, the full organization is discussed on the section 4.2, and in the page 68 there is an example of a SOC integrated with minors SOCs remotely.</div></div></div></div></div></div></blockquote></div></blockquote></div></div><div dir="auto"><font color="#4caf50">Org Chart can b added on or after slide 32 titled people & skills</font></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>5.<span style="white-space:pre-wrap">  </span>I recommend the reading of the book above, and the use of this book as a guideline for the project.</div></div></div></div></div></div></blockquote></div></blockquote></div></div><div dir="auto"><font color="#4caf50">Agreed</font></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>6.<span style="white-space:pre-wrap">       </span>Also the Centralized and Distributed SOC is a discussion for in-house SOC ( maybe in Hybrid?), so maybe you could separate in the slide 3 the points, my suggestion:</div></div></div></div></div></div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div><div>•<span style="white-space:pre-wrap">        </span>In-house</div></div></div></div></div></div></div></blockquote><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div><div>o<span style="white-space:pre-wrap">   </span>Centralized</div></div></div></div></div></div></div></blockquote></blockquote><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div>o<span style="white-space:pre-wrap">        </span>Distributed</div></div></div></div></div></div></blockquote></blockquote><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div>•<span style="white-space:pre-wrap">      </span>Managed</div></div></div></div></div></div></blockquote><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div>•<span style="white-space:pre-wrap">     </span>Hybrid</div></div></div></div></div></div></blockquote></blockquote></div></blockquote></div></div><div dir="auto"><font color="#4caf50">External SOCs can't be centralized or distributed? </font></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>7.<span style="white-space:pre-wrap">       </span>I didnt understood the slide 7, the constituency, are you talking about in-house SOC constituency? If so why there a topic saying external?  Is a SOC Type? I don’t know and didn’t find anything related on the internet.</div></div></div></div></div></div></blockquote></div></blockquote></div></div><div dir="auto"><font color="#4caf50">Here I wanted to say following and we can recategorize as follows:</font></div><div dir="auto"><font color="#4caf50">External SOC</font></div><div dir="auto"><font color="#4caf50"> - Constituency (major difference without write access to security devices) </font></div><div dir="auto"><span style="font-family:sans-serif"><font color="#4caf50">- Managed (major difference with write access to security devices) </font></span><br></div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>8.<span style="white-space:pre-wrap">  </span>I think the Hybrid SOC could be the second to be presented, it had part of the In-House SOC and part of Managed SOC, so it could be more clear to the audience to make a link between the types</div></div></div></div></div></div></blockquote></div></blockquote></div></div><div dir="auto"><font color="#4caf50">Normally Hybrid comes after the categories which it is combinition</font></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>9.<span style="white-space:pre-wrap">       </span>On the slide 8, the Managed SOC, another risk is that sometimes it could be out of compliance, so for example you need to check where the vendor is and where the data is stored, some countries has a requirement that the data has to be stored physically in the country.</div></div></div></div></div></div></blockquote></div></blockquote></div></div><div dir="auto"><font color="#4caf50">This can be explained in the details of last point i.e. Lack of archiving</font></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>10.<span style="white-space:pre-wrap">  </span>In slide 10, Authority, in Proactive it could include maybe the threat hunting part.</div></div></div></div></div></div></blockquote></div></blockquote></div></div><div dir="auto"><font color="#4caf50">Plz. Elaborate, here v r discussing about What authority a SOC Team may have</font></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>11.<span style="white-space:pre-wrap">       </span>In slide 16, you could add External Feeds, (Taxii and other formats) and OSINT, IOCs and IOAs collections</div></div></div></div></div></div></blockquote></div></blockquote></div></div><div dir="auto"><font color="#4caf50">Agreed</font></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>12.<span style="white-space:pre-wrap">        </span>In slide 19, you could add UEBA, or UBA.</div></div></div></div></div></div></blockquote></div></blockquote></div></div><div dir="auto"><font color="#4caf50">Can be mentioned in Monitoring slide 18</font></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>13.<span style="white-space:pre-wrap">        </span>In slide 22, in the Analysis probably it could be defined a signature for the malware or the attack, at least define some IOCs or IOAs</div></div></div></div></div></div></blockquote></div></blockquote></div></div><div dir="auto"><span style="color:rgb(76,175,80);font-family:sans-serif">Signature Can be mentioned in Response slide 24</span><span style="font-family:sans-serif"><font color="#4caf50"><br></font></span></div><div dir="auto"><span style="font-family:sans-serif"><font color="#4caf50">IOCs & IOAs </font></span><span style="color:rgb(76,175,80);font-family:sans-serif">Can be mentioned in Detection slide 21</span><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>14.<span style="white-space:pre-wrap">      </span>In slide 24, the response is probably connected to the IOCs, IOAs or signatures created in the Analysis part.</div></div></div></div></div></div></blockquote></div></blockquote></div></div><div dir="auto"><font color="#4caf50">Agreed as Above</font></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>15.<span style="white-space:pre-wrap">   </span>In the slide 29, about  the signatures it could be a validation of the signature and replication of the signature for others (if needed), also I think it’s the moment to check the metrics of the incident.</div></div></div></div></div></div></blockquote></div></blockquote></div></div><div dir="auto"><font color="#4caf50">Agreed</font></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>16.<span style="white-space:pre-wrap">  </span>In slide 30, two important metrics are MTTD (Mean time to detect) and MTTR (mean time to respond)</div></div></div></div></div></div></blockquote></div></blockquote></div></div><div dir="auto"><span style="color:rgb(76,175,80);font-family:sans-serif">Agreed</span><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>17.<span style="white-space:pre-wrap">  </span>In slide 31, it’s very important to have template reports for each service, and the frequency for this reports delivery and for who this reports should go. Eg: Its very very important to have frequent reports with metrics for the stakeholders</div></div></div></div></div></div></blockquote></div></blockquote></div></div><div dir="auto"><font color="#4caf50">Can be mentioned in detailed document</font></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><div><div><div><div><br></div></div></div></div></div></div><div><div><div><div><div><div>18.<span style="white-space:pre-wrap">      </span>I think it’s important in a moment in the presentation explain which documents are a must in every SOC, such as, a SOC Chart, a SOC Roles & Responsibilities, Tools procedures etc..</div></div></div></div></div></div></blockquote></div></blockquote></div></div><div dir="auto"><font color="#4caf50">Its not a standard, its framework we can't mention something like mandatory documents, however we can have roles & responsibilities slide</font></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div><br></div></div></div></div></div></div></div><br><div class="gmail_quote"><div dir="ltr">Em sáb, 6 de out de 2018 às 05:00, Muhammad Naqvi <<a href="mailto:muhammad.naqvi@owasp.org" rel="noreferrer noreferrer noreferrer" target="_blank">muhammad.naqvi@owasp.org</a>> escreveu:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto">Dear Project Team, <div dir="auto"><br></div><div dir="auto">Please send your feedback/ comments on the presentation latest by 15th October.</div><div dir="auto"><br></div><div dir="auto">Regards</div><div dir="auto">Muhammad Faisal Naqvi</div></div>
_______________________________________________<br>
OWASP-SOCFramework-Project mailing list<br>
<a href="mailto:OWASP-SOCFramework-Project@lists.owasp.org" rel="noreferrer noreferrer noreferrer" target="_blank">OWASP-SOCFramework-Project@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-socframework-project" rel="noreferrer noreferrer noreferrer noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-socframework-project</a><br>
</blockquote></div>
</blockquote></div></div></div>
</blockquote></div></div></div></div>
</blockquote></div></div></div>