Table of Contents

PT2-MSS - 2023/10/11 上午

2023-10-11
2023-10-11
16 min read
IT
MSS
Hits

  深信服安全托管服务 MSS 联合运营服务经理 PT2 培训第三天上午。

安全运营中心 - 月度沟通培训

沟通的必要 - 沟通无小事

  1. 目前运营中未经沟通出现的满意度问题
    1. 漏扫换个时间?
    2. 客户群内拉个人?
    3. 封堵 IP 没有告诉客户?
    4. 应急自作主张删文件?
    5. 漏扫工单不通知客户?
  2. 目前运营中出现的低级错误问题
    1. 发错客户名称?
    2. 事件发错客户群?
    3. 报告中日期错误?
    4. 发送信息中的错别字?
    5. 无意中在客户群发错消息?

沟通表达能力 - 沟通表达能力的背后是逻辑能力

  万能的逻辑思路

  1. 先说结论
    1. 有时候需要讲的东西铺垫太长然后信息量太大。这样呢,你就没有考虑到对方想要什么。对方可能只需要清晰的知道,你要干啥。
    2. 比如说:漏洞管理这块跟客户聊得时候,切勿拖泥带水,说漏扫几次……
  2. 分点说出理由
    1. 结果说完之后,分点说出必要的原因(内部因素/外部因素、或者 123 点),具有逻辑性。根据说出的结论再列举出让客户干什么的原因,为什么去做。
  3. 给出建议和方案
    1. 如果你只给出了原因没有给出解决方案会让人觉得您考虑不周,没有思考,这样就会降低沟通效率
    2. 比如说:漏洞怎么去修复,如果在出现有修复方案无法落地的情况,我们可以采取怎样的防护方案

  沟通表达的九个小技巧 - 快速改善沟通表达能力

  1. 核心内容明确
    1. 沟通讨论的核心内容明确
    2. 电话沟通开始的时候,我们就可以跟客户说我们今天要沟通的内容大概有哪几点。某某老师,下午好。我们今天的沟通的主要的目的是……,内容大概是这几个方面
  2. 结构化思维
    1. 沟通要有结构化思维。沟通前记录好思维导图(笔记),逐层分解帮助您有一个更逻辑的表述。
    2. 如果建议客户去修复漏洞,如果你只谈及某某老师,我们需要修复某某漏洞,最后跟进的时候只会说有没有修复。我们需要分层次的给客户解释我们为什么需要修复这个漏洞,这个漏洞的所能给你塞莱的风险是什么,如果有利用该漏洞成功的案例都可以给客户举例说明
  3. 多维度重复
    1. 重要的信息要有多维度重复
    2. 假如你要让客户重视和你月度沟通的时间。那我们可以先跟客户约时间说“明天下午 3 点您有空么?”,客户说有空,我们可以继续说“明天下午 3 点我们可以打个电话聊聊么,主要谈论的有以下几个方面内容。”,最后我们可以再通知客户一遍说“明天下午 3 点我们沟通的内容中有几点”
  4. 主动留白
    1. 沟通过程中要有意识的主动给客户留反应和表达的时间
    2. 我们在看欢乐喜剧人的时候每次在戏剧演员抛完包袱后会主动的停顿一下,给观众笑和反应的时间,这就叫节奏。那我们跟客户的沟通也是如此,在有需要跟客户商量或者需要客户思考和答复的时候,需要留出空余的时间
  5. 避免使用否定词语
    1. 尽量避免使用否定的词句给客户
    2. 当客户问一个问题,尽量不要使用,不知道、不了解、不清楚。这样多少会让客户感觉到不舒服。虽然面对我们一时间不了解的问题,不能第一时间给出的答案,但是去寻找问题的答案,去咨询问题的答案是我们可以做的。比如说,客户反馈某个漏洞,报告中给出的方案根本不可行,可以说这个漏洞修复的方案后续我会和技术专家进一步研究可落地的修复防护方案
  6. 戒掉“随便”
    1. 戒掉口头“随便”两个字
    2. 当有客户在处理安全问题有两难的抉择时,不要使用“随便”、“都可以”
  7. 延伸话题
    1. 学会延伸话题,根据客户主动跟你聊的问题,进行细节拆分。
    2. 比如:客户反馈弱密码的数量好多。是的,需要您的及时提醒修复。
    3. 是的,需要您及时的提醒修复,弱密码的问题数量过多也反映了贵单位内部人员针对安全这方面的意识匮乏,我们可以有意识的计划安全意识培训。我们有资源的话还可以做定期安全知识分享,让员工在潜移默化中认识安全。
  8. 明确需求
    1. 明白客户想听什么,分清客户的需求,用同理心代替讲道理
    2. 比如,当客户向你抱怨他那边工作繁忙,以至于云端安排的安全工作没有及时处理。那我们需要先对客户的这种情况表示理解,先让客户的消极情绪消散。再针对性的发现问题去跟客户一起商讨如何解决问题,是不是整理的失陷主机过多,定期分批给到会不会好点;漏洞扫描一次性发送太多,是否存在修复压力,那是否可以筛选优先级高的漏洞或者延长跟进处置进度,给客户制定漏洞修复计划等等。
  9. 统一战线
    1. 把“你”、“你们”换成“我”、“我们”
    2. 比如说跟客户平常沟通的时候,这个 IP 这是您那边的什么主机,可以换成?
    3. 这个 IP 是我们海关这边的什么主机
  10. 总结:表达能力就是说话方式让客户听着舒服,也不压抑着自己

  场景:一件简单的主机处置跟进的问题。某服务经理微信发送:老师,某某主机是否已经处置。客户的回复:你在叫我做事么?或者干脆不回复的情况。

  这里在沟通的时候服务经理忽略了什么?——语气

  文字意思被人解读的时候是会带有语气的去解读。

  深度沟通方式的选择

  1. 当我们需要跟客户一时间确认的问题很多,我们仍要通过文字进行深度沟通么?
  2. 在文字沟通中容易出现传达信息歧义

  沟通方式

  1. 面对面沟通
  2. 电话沟通
  3. 书面表达沟通

月度沟通指引

准备阶段

  明确沟通目的,提前记录好和客户的沟通内容,避免在和客户沟通中出现“空窗期”的尴尬局面

准备沟通内容
  1. 月度安全情况:按照沟通频率间隔时间先记录好前段时间客户内网的安全情况,可以从资产、威胁、脆弱性、事件等四个方面给客户介绍大致的情况。
  2. 积累的沟通问题:在工作中记录好平时在服客户工作中不紧急但是需要和客户深度交流的问题。比如:主机漏洞的修复进度问题。
  3. 云端的工作计划:可以提前告诉客户云端这个月打算做什么(准备漏扫、漏洞挖掘、弱口令的整理、策略检查、报告的输出等等)有什么安排,告诉客户,让客户心里有个底。重要:制定云端月度工作计划
    1. 发送位置:内部群以及客户群(可以先发送至内部群,经内部人员确认或者补充后再发送至客户群)注:同一份工作计划汇报,主要在内部群和客户群面对对象不同,同步的语言不同,主要需要修改
    2. 发送时间:月初(月度沟通之前或者月度沟通之后)
      1. 月度沟通之后的情况:和客户第一次沟通,跟客户不熟的情况下,最好在月度沟通之后发送,这样在月度沟通时,可以跟客户再次说明我这个月的安全工作,询问客户侧是否存在不妥之处,或者需要补充的地方,或者哪方面安排的不恰当都可以和客户一起探讨。沟通结束之后再根据客户的想法和我们实际情况修改月度工作计划。
      2. 月度沟通之前的情况:这阶段是已经跟客户很熟悉了,并且你的计划需要完全符合客户侧需求,这种情况直接发送至群通知客户即可,节省月度沟通的时间和客户去探讨更重要的内容。
  4. 客户侧的安全工作计划:可以询问客户侧近期的安全工作安排,评估云端是否可以配合客户的安全工作。以上和第三点一起达成云端和客户侧的工作同步,促进安全工作的进展,和客户朝一个方向努力。
预约沟通时间

  提前跟客户预约好时间,贸然打电话会影响印象(熟悉可另谈)。

同步沟通内容

  提前将要沟通的内容同步给客户,给双方都有准备问题的时间。

记录沟通内容

  准备好记录沟通的内容,方便沟通结束后整理通告至内部群。

特殊沟通

  具有重大决策的电话沟通,比如和以往的运营模式不一样,有涉及交付结项的问题时,可录音(录音必须告知客户),自己针对沟通内容决策有无录音必要。

沟通阶段

  明确沟通方式;沟通内容;沟通时间

沟通形式

  电话、会议等(月度沟通尽可能采取对话的形式)

沟通内容
  1. 自己提前准备好的沟通内容,包含准备阶段的四部分内容
  2. 主动询问客户侧在处置漏洞病毒方面、安全工作方面有遇到哪些困难。
  3. 需要主动了解每次云端通告之后,客户侧的处置流程,有没有专业的安全对接人进行处置,甚至于有没有去进行处置。这有利于我们知道在通告时是否需要给出详细的建议以及指导文档,甚者需要我们自己给客户远程处置。
    1. 补充:客户侧如果缺乏专业的处置人员,云端进行处置之后形成经验文档,分享给客户,可以跟客户商量形成自己和客户之前的专业知识库,同类型的下次可自行解决。
    2. 这样的话题就有得聊了,有些话题需要我们自己去探索。根据不同的客户不断探索新的东西,新的服务流程,有可能你和客户因为独特性探讨的服务流程会成为我们 MSS 的新流程。
  4. 跟客户熟悉后,可以聊一些额外的话题拉近跟客户的关系,注意把握时间。
沟通时间

  按具体情况自己掌控,时间太短或者太长都不适宜。时间太短说明你和客户没内容聊(当然如果上面准备好了,这现象是不会出现的);时间太长,如果都是安全工作没有问题,有些安全问题确实需要聊好久,如果安全工作话题只占了 50% 是有问题的,可以参考下面(2)点中建立。

  1. 初次的沟通:时间久是可以理解的,都是你跟客户彼此熟悉的阶段,所以有些内容延伸拓展没有问题。
  2. 熟悉之后的沟通:彼此熟悉之后,如果聊天内容偏离工作话题久了,你需要及时将话题转回正题(因为已经准备好了沟通内容,所以很好能继续往下聊下一个话题)。我们的工作时间也是宝贵的,需要沟通的效率,如果有需求,最好只留 10% 左右的时间和客户拉家常。
沟通时注意事项
  1. 通过客户的预期等判断客户对这个话题的感兴趣程度,没有想要进一步沟通的想法时可直接跳过这个问题你的询问。
  2. 面对客户问的自己一时间不知道的话题,不可直接拒绝回答不知道,可以说,待会我仔细询问研发同事之后再给您一个全面的答复等。等咨询到合适可落地的解决方法后再和客户解释,这样也能间接增加和客户的交流的机会。
  3. 尽量不要在聊天过程中一个劲的去问客户问题,更不要机械式的“念稿子”,这些类型的沟通都很容易引起客户的反感。自己的语气尽量亲公司能够,不要紧张(有准备好的聊天话题时,会很大程度减轻你的紧张感)。当然,第一次沟通多少都会有点焦虑感,可以在沟通前自己多练习几遍,待会怎么开始,怎么称呼客户,怎么跟客户开始内容的探讨,聊天话题之间怎么用语言衔接过渡,比如:运营的工作大致介绍完毕,老师,下面我需要和您核对下 8 月份的漏洞修复情况。诸如此类。记不住就写下来,万事开头难,不过,只怕有心人,客户能感受到你的用心。
  4. 遇到客户那边冷淡不怎么回复,可能是第(1)点,你可以有意识地根据客户回复你的零星内容进行适当性延伸拓展,如果继续不冷不热,尽快结束沟通,不用尬聊,这种情况 80% 是平时就有满意度问题(新客户基本上不会有),那就需要从平时改变,做好安全运营工作,有意识的增加与客户的接触,比如:群里发的任何消息,私下再微信单播客户提醒一遍需要他的关注。日积月累,客户一定会改变对你的看法。
  5. 在沟通过程中,客户对你提出的安全问题,可能会因为客户本身安全知识储备不足而不明白其中的威胁程度,你需要给客户进行专业的解释并且可以列举一些同行业案例,处罚客户的共情从而推动
  6. 在沟通过程中学会倾听,倾听客户的想法。服务经理必须在月度沟通中有意识的让客户有空间去表达。通俗来讲,就是避免全程一个人自顾自的从头说到尾,我们不是在汇报,是在沟通。
  7. 客户的安全工作不可能是完美的,云端的工作也不可能是做的完的。客户在购买 MSS 服务时,可能也没有明确好购买这个服务的细节需求,都只有一个大致的方向:保障内网安全,可以在沟通中引导客户了解安全细节,帮助客户在安全方面查缺补漏,中间可以发现客户侧的许多需求(存在商机)

总结阶段

  整理沟通内容同步内外群及上传 PMS;解决沟通后的遗留问题,有始有终

  1. 总结:将和客户沟通的内容整理好同步至内部群以及 PMS。
  2. 解决遗留问题:针对客户的遗留问题,在跟内部群同步后,商讨出解决方案同步至客户,不定期跟进问题的进度直至问题闭环。这中间的彻底解决问题的过程可能会需要时间,毕竟交涉的同事比较多。不过记得给客户不定期同步进度,客户知道你正在解决这个问题,客户就不会有意见。

注意事项

  1. 沟通必要和频率:根据行业类别和客户级别:教育、政府、商业、小客户、大客户等;对接人的身份:客户、渠道、驻场等,自己对沟通的必要和频率进行把控。
  2. 注意事项
    1. 在沟通过程中如果面对是领导层的对接人,除了我们自己做的工作,也需要同步客户侧人会员做的所有工作,并且在沟通结束后进行总结,自己和客户侧也是一个团队,需要考虑到每个人的付出。
    2. 在和客户接触久了,彼此都比较熟悉之后,月度沟通大可不必被这些条条框框所束缚,每一个客户都是独特的,按照自己的想法大胆的去尝试与客户之间的沟通方式。本文仅作沟通的牵引,参考时可取精华去其糟粕。

安全运营服务平台 MSSP 使用

MSSP 平台:是服务经理为客户提供安全托管服务的主要平台,通过此平台进行资产管理、脆弱性管理、威胁管理、事件管理、报告输出等工作

工作台

  工作台是日常运营工单推送、处置闭环的主要场所,包含告警表、事件表和漏洞表等

左侧功能区(1)

  1. 全部客户:可查看到第二处置人或所有客户权限的客户
  2. 待我处置:仅包含自己的客户和技术支持转过来的客户;

  使用场景:请假需要协助看客户工单时,可以将技术支持或第二处置人转给相应人员,协助的同事可以在全部客户或待我处置看到相应工单

技术支持

  技术支持常用于将客户暂时转给其他人员,此时客户管理会出现这个客户所有信息,让他不用远程或是在你的电脑上进行问题排查

左侧功能区(2)

  小图标快速跳转(1、2、3、4)与制定重点关注客户

  1. 跳转到当前客户的资产管理模块
  2. 跳转到当前客户的设备管理模块
  3. 点击可以快捷修改当前客户的审核备注
  4. 安全设备检测模块

告警表(1)

  告警表是 MSSP 对安全设备上报上来的数据,经过分析后,所有触发安全规则的告警;有告警后才会有后续的时间,若有些工单事件没有生成,需要查看是否生成安全告警或是被忽略了

告警表(2)

  1. 生成事件:根据需求对告警经过判断后生成安全事件。
  2. 审核策略:可以根据自己的需求添加定义,可对全局策略进行新增、删除、编辑、禁用以及移动等操作。
  3. 加白告警列表:在设备上已经加白,触发了告警的会在这里显示,不会生成事件。

事件表

  事件表是通过策略自动生成事件或者手动生成的安全事件,服务经理需要对生成的事件进行研判发送或驳回

  1. 处置中:已通告客户、正在分析事件等可标记为处置中;
  2. 已处置:事件已闭环,无需跟进;
  3. 已挂起:事件长期无法闭环,可以标记已挂起,跟进周期可以延长。
  4. 驳回:误判、客户不关注、平台原因等可以驳回。
  5. 新增事件:如若有些主动处置的事件例如 SIP 策略调优等自定义事件需要手动录入,可以新增事件录入。
  6. 导入事件:可以导入多个自定义事件,可下载模板导入。

脆弱性表

  1. 脆弱性表:包含漏洞、弱密码、暴露风险三个模块
  2. 漏洞审核:漏洞扫描完会出现在平台漏洞表,服务经理需要对漏扫的结果进行复核
    1. 审核结果为误报:漏洞不会进客户的 soc 平台,且不能进行复测、标记、报告下载等操作。
    2. 审核结果为非误报:漏洞进客户的 soc 平台,且能进行复测、标记、报告下载等操作。
    3. 非误报的漏洞在跟进状态会变为处置中,误报的漏洞在跟进状态会变为已标记为误判
  3. 漏洞导出:可根据客户需求(例:高危、处置中)进行漏洞导出
    1. 导出方式
      1. 责任人维度:每个责任人会导出一份漏洞 Excel 表及一份漏洞修复手册
      2. 漏洞名称:根据每个漏洞名称导出一份漏洞 Excel 表及一份漏洞修复手册
      3. 业务维度:根据每个 IP 资产导出一份漏洞 Excel 表及一份漏洞修复手册(常用)
  4. 勾选后,导出的漏洞清单将按高、中、低危的漏洞等级拆分为 3 个 sheet 页

弱密码

  平台弱密码的数据来源于态势感知的弱密码模块

  筛选方式

  1. 可根据客户关注程度(是否管理员、内外网弱密码等进行筛选)
  2. 对于未成功的可选择误判
  3. 对于筛选过后需要发送的,可以标记为处置中,方便后续跟进
  4. 对于跟客户确认已整改的,可以标记为已处置。

项目管理流程

  安全托管服务中其他的过程交付物需要使用 mssp 平台进行提交,包括内、外部启动会,项目结项回拨啊等。提交位置:工作台 → 服务中心 → 项目管理流程

报告管理

报告生成

  可以对所需的报告(周报、月报、季报等)进行编辑,一般是 PDF 版本的

报告编辑

  1. 安全运营周报编辑:根据服务内外安全事件进行筛选和导出
  2. 安全运营月报编辑
    1. 报告内标红处需要人工调整,增加、删除、优化
    2. 事件类型和数据展示可人工筛选,例如可以不勾选漏洞模板,报告里不会展现漏洞数据
    3. 外部攻击 TOP5 可根据大数据日志或情报进行分析和筛选
    4. 报告导出时,可根据客户情况筛选是否需要密码或事件跟踪表
  3. 安全运营季报编辑(注:季报不可以各个运营模块在线编辑,需要导出后进行下载报告后编辑)
    1. 可根据需要展现的数据进行筛选,点击下方“确定”按钮,选择的相关数据将在报告内自动生成,筛选的结果会展现出一个总览,数据确认后进行导出。
    2. 报告 ppt 下发会有讲解思路进行参考

客户管理

  客户管理页面主要包含操作栏:新增、一键导出;筛选蓝、客户展示列表(包含 SOC 跳转、PM 跳转以及管理操作)。

创建客户

  1. 新增客户页面:基本信息、客户服务及工单配置、服务授权、服务人员以及其他字段模块,按要求填入相应的数据即可。注:如果是 XDR 的客户,服务项需要修改成 MSS-XDR 或 MDR-XDR,否则不会对 XDR 的事件进行审核
  2. 创建客户成功后,进行各项检查
  3. 备注:客户正式上线后一定要填,工单审核同事会根据备注审核和推送事件。
  4. 服务授权:查看客户服务周期、授权资产数以及运营状态等。
  5. 服务开始时间:尽量与客户正式发上线话术为准,如若不是,可找组长调整。
  6. 服务群名:一定要跟微信群名保持一致

设备管理

  接入 MSSP 平台的设备需要手动新增,接入账号和密码均可以自动生成。

  接入 XDR 平台的设备,线下工程师进行接入,线上无需操作

  注意事项

  1. MSSP 平台设备新增时,设备分支建议以部署位置命名,例如 DMZ、出口等,方便以后定位设备
  2. IP 地址,建议将各个设备的 IP 地址录入,方便及时定位设备
  3. 点击更多 - 修改后,会弹出设备信息,可点击左下角复制设备信息,发给工程师进行设备接入

资产管理

  1. 资产导入:通过下载模板文件,编辑模板文件,将资产表中必填项完成然后导入。
  2. 新增资产/资产组:可添加单个资产/资产组
  3. 添加常用场景:录入客户安全设备或服务外的资产(例如代理 IP),新增资产可以备注名称,使时间告警时出现这个资产名称

审核策略

  审核策略常用于 MSSP 客户的事件告警(可自动忽略或者自动生成事件)可对策略生效时间、源、目的 IP、IOC、Use Case ID、告警名称等进行告警忽略或生成事件

事件推送策略

  事件推送策略常用于客户备注较多时,审核人员可能没有注意到,设置后会在事件表里对当前事件进行提醒推送或不推送,也可以对推送要求进行高亮提醒。(配置方法同审核策略。)

资源组管理

  资源组管理常用于配置客户的内网网段、安全设备等,安全事件告警时会显示对应的资源组,与资产表类似,但可录入网段信息

邮箱信息配置

  配置邮箱账号后可以在平台报告管理中直接推送报告。

工具中心

分析平台/大数据平台

  大数据平台:安全设备将流量传给大数据,大数据通过 usecase 进行数据整合和分析,生成 MSSP 安全告警

  判断是否有日志上传到 MSSP,可看大数据平台是否有日志。

  查看数据信息时,可多关注 JSON 格式,里面有各种告警信息、数据来源等

  数据平台还常用作威胁情报匹配,平台输入情报中心提供的语法进行筛选,注意要拉长时间,点击事件查看具体举证信息是否与情报中心相匹配

工具箱

策略形式(报告形式)
  1. 可根据对应场景或工具进行设备安全策略检查,检查完后可进行报告导出以及整改后验证。
  2. 一般可立刻执行,不会对客户业务有影响。
策略检查(时间表形式)

  策略检查:可多选安全设备进行策略检查——策略检查完后,点击存在风险项,可筛选出检查的风险项——可对风险项生成事件,会进入事件表,方便后续跟踪。

  平台仅支持部分版本策略检查,不支持的版本需要手动检查。

TopN 攻击 IP 分析

TopN 攻击 IP 分析:TOPN 攻击会进入到周报、月报数据中,外部攻击 TOP 可在此查看,常用于要给客户推送和封堵后,若需要计算封堵情况,可勾选攻击 IP,可生成事件到事件表进行记录

AF 联动封锁

IP 封锁

  1. 可针对客户接入的防火墙直接在 MSSP 平台进行 IP 封堵(部分版本不支持封堵,需要手动跳转到 AF 上封堵)
  2. IP 封堵管理:可查看到封堵 IP 的封堵时间、封堵人、封堵原因、封堵防火墙、封堵是否成功、以及可进行解封
#沟通 #MSSP
Avatar

Hui.Ke

❤ Cyber Security | Safety is a priority.
Next PT2-MSS - 2023/10/10 下午