しばしばSOCとも呼ばれるセキュリティ オペレーションセンターとは、実在する物理的な場所またはバーチャル組織のいずれかの中央司令部で、企業が直面する可能性のあるセキュリティ問題とインシデントの監視、検知と対応を行います。规模更大的事件检测与响应(IDR)将SOC作为一部分来实现的模式包括:嵌套模式,协同管理模式,以及全管理或外包模式。。
セキュリティ オペレーションセンターと聞くと、複雑なマップ、高価なモニターがあり、ヘッドセットをした分析师がたくさんいる暗い部屋といった、映画に出てくる典型的な作戦指令室を思い浮かべるかもしれません。但是SOC在大多数情况下不是一个实体或房间。。准确地说,SOC是一个正式组建的专门团队,负责一系列与安全相关的工作,检测和验证环境中的威胁。。
无论企业的规模和目的如何,拥有一个组织级的专业团队都是非常有价值的,他们负责随时监控安全运行和事故,并应对任何可能发生的问题。。网络安全团队的责任有时非常复杂。。帮助团队成员完成日常任务的SOC不仅可以作为战术控制台,还可以作为战略中心,帮助团队了解更大、更长期的安全趋势。。
一个典型的安全操作中心跟踪任何组织可能遇到的安全警告以及员工、合作伙伴和外部来源,例如通过技术和工具通知潜在威胁。。SOC随后对报告的威胁进行调查和验证,以确保它不是过度检测(如果报告的威胁是无害的)。。如果安全事故被认为是有效的并且需要响应,SOC将把事故移交给合适的人员或团队进行响应和恢复。
作为整个事件检测和响应程序的一部分,安全操作中心需要高度结合专业知识、流程和效率。。这就是为什么有些组织无法为SOC提供资源,用干扰来支撑。。很多组织选择让外部机构管理或完全外包SOC。。
对于组织来说,要想让SOC成为一个实用的选择,就必须有很多的组件来支撑。。第一,我们需要一个好的攻击面管理程序。。这包括:在所有威胁入侵和逃脱的路径上,漏洞扫描(引入相关补丁)钢笔测验用户认证和授权,资产管理,外部应用测试(和相关补丁),远程访问管理。。
次に事故应对计划是必要的。。通常,将SOC引入IDR计划的一个主要目的是提高组织环境中的威胁检测的有效性。。如果你没有在发现侵犯后制定事件应对流程,并进行定期验证,那么你只处理了有效IDR程序的一部分。。
最后,灾后重建计划也很重要。。侵害只是组织需要修复的灾难之一。。我们需要事先制定计划,在我们完成对受影响的资产、应用程序和用户的封锁之后,恢复正常的业务运营流程。。这就是灾后重建。。
基于安全运营中心固有的复杂性,建立运营中心需要考虑很多因素。。无论是内部安装还是外包安装,一个成功的SOC必须准备以下三个要素。。
当你与外包的SOC提供商合作时,这也适用。。SOC成为一个受信任的组织合作伙伴。。因此,积极和定期地进行沟通、透明、反馈和协作,确保SOC能够成功并发挥最大的作用是必不可少的。。