Mis on turbetoimingute keskus (SOC)?
Siit saate teada, kuidas turbetoimingute keskuste meeskonnad potentsiaalseid küberründeid kiiresti tuvastavad, prioriseerivad ja olulisuse alusel järjestavad.
Mis on SOC?
Turbetoimingute keskus ehk SOC („Security Operations Center“) on tsentraliseeritud funktsioon või meeskond, kes vastutab organisatsiooni küberturbe seisundi tugevdamise ning ohtude ennetamise, tuvastamise ja kõrvaldamise eest. SOC-i meeskond, mis võib olla nii kohapealne kui ka alltöövõtja, jälgib kasutajaidentiteete, lõppseadmeid, servereid, andmebaase, võrgurakendusi, veebisaite ja muid süsteeme,et leida potentsiaalseid küberründeid reaalajas. Samuti teeb see ennetavat turbetööd, kasutades uusimat ohuteavet, et püsida kursis ohurühmade ja taristu uusimate arengutega ning tuvastada ja kõrvaldada süsteemi või protsessi nõrkused veel enne seda, kui ründajad saaksid neid ära kasutada. Enamik turbetoimingute keskuseid töötab ööpäev läbi nädalas. Mitmes riigis tegutsevad suurettevõtted võivad sõltuda ka globaalsest turbetoimingute keskusest (GSOC), et püsida kursis ülemaailmsete turbeohtudega ning koordineerida tuvastamist ja reageerimist mitmes kohalikus SOC-is.
SOC-i funktsioonid
Turbetoimingute keskuse meeskonnaliikmed kasutavad rünnete ennetamiseks, neile reageerimiseks ja neist taastumiseks järgmisi funktsioone.
Varade ja tööriistade inventuur
Katvuses esinevate pimealade ja lünkade likvideerimiseks on turbetoimingute keskusel vaja nähtavust varadest, mida see kaitseb, ja ülevaadet tööriistadest, mida see organisatsiooni kaitsmiseks kasutab. See tähendab arvestamist kõigi andmebaaside, pilvteenuste, kasutajaidentiteetide, rakenduste ja lõppseadmetega nii kohapeal kui ka mitmes pilvkeskkonnas. Meeskond jälgib ka kõiki organisatsioonis kasutatavaid turbelahendusi (nt tulemüürid, ründevaratõrje, lunavaratõrje ja jälgimistarkvara).
Ründepinna vähendamine
Üks turbetoimingute keskuse peamiseid ülesandeid on organisatsiooni ründepinna vähendamine. SOC haldab selleks kõigi talitlusüksuste ja varude seisu, rakendab tarkvarale ja tulemüüridele turbevärskendusi, tuvastab väärkonfiguratsioone ja lisab uusi varasid vastavalt nende võrku saabumisele. Meeskonnaliikmed vastutavad ka tärkavate ohtude uurimise ja riskile avatuse analüüsimise eest, mis aitab neil uusimatest ohtudest sammu võrra ees püsida.
Pidev jälgimine
Turbeanalüüsilahenduste (nt turbeteabe ja -sündmuste halduse (SIEM) lahendus, turbe korraldamise, automatiseerimise ja reageerimise (SOAR) lahendus või laiendatud ohutuvastuse ja -kõrvalduse (XDR) lahendus) abil saavad SOC-i meeskonnad jälgida tervet võrku – nii kohapealset taristut kui ka pilvkeskkondi, rakendusi, võrke ja seadmeid – ööpäev läbi, et tuvastada anomaaliaid või kahtlast käitumist. Need tööriistad koguvad telemeetriateavet, agregeerivad andmed ja mõnel juhul ka automatiseerivad intsidentidele reageerimise.
Ohuanalüüs
Turbetoimingute keskus kasutab ka andmeanalüüsi, väliseid kanaleid ja toodete ohuaruandeid, et saada ülevaade ründaja käitumisest, taristust ja motiividest. See teave annab aimu sellest, mis Internetis toimub, ja aitab meeskondadel mõista, kuidas kuritegelikud rühmitused tegutsevad. SOC saab selle teabe abil ohud kiiresti päevavalgele tuua ja kaitsta asutust või ettevõtet ka uhiuute ohtude eest.
Ohutuvastus
Turbetoimingute keskuste meeskonnad kasutavad ohtude tuvastamiseks SIEM-i ja XDR-lahenduste genereeritud andmeid. Alustuseks filtreeritakse valepositiivsed tulemid tegelike probleemide hulgast välja. Seejärel prioriseeritakse ohud vastavalt nende raskusastmele ja potentsiaalsele mõjule.
Logihaldus
SOC vastutab ka iga lõppseadme, operatsioonisüsteemi, virtuaalarvuti, kohapealse rakenduse ja võrgusündmuse loodud logiandmete kogumise, haldamise ja analüüsimise eest. Analüüs aitab tavategevuse jaoks määratleda võrdlusaluse ja toob nähtavale anomaaliad, mis võivad osutada ründevarale, lunavarale või viirustele.
Intsidentidele reageerimine
Kui küberrünne on tuvastatud, võtab turbetoimingute keskus kiiresti kasutusele meetmed, et piirata ettevõttele tekitatavat kahju viisil, mis häiriks tööd võimalikult vähe. Need meetmed võivad hõlmata mõjutatud lõppseadmete ja rakenduste sulgemist või isoleerimist, ründe ohvriks langenud kontode peatamist, nakatunud failide eemaldamist ning viiruse- ja ründevaratõrje tarkvara käitamist.
Taaste ja kahjutustamine
Pärast rünnet vastutab SOC ettevõtte algse seisundi taastamise eest. Vastavalt vajadusele tühjendab või kustutab meeskond ning ühendab uuesti nii kettad, kasutajaidentiteedid, meilikontod kui ka lõppseadmed, taaskäivitab rakendused, lülitub ümber varusüsteemidele ja taastab andmed.
Juurpõhjuse uurimine
Sarnase ründe kordumise vältimiseks viib turbetoimingute keskus läbi põhjaliku uurimise, et tuvastada nõrkused ja probleemsed turbeprotsessid ning selgitada välja muud intsidendile kaasa aidanud asjaolud.
Turbemeetmete täpsustamine
SOC kasutab intsidendi käigus kogutud andmeid nõrkuste kõrvaldamiseks, protsesside ja poliitikate täiustamiseks ning turbetegevuskava värskendamiseks.
Vastavushaldus
Turbetoimingute keskuse vastutusala ühe olulisema osa moodustab kohustus tagada rakenduste, turbetööriistade ja protsesside vastavus asjakohastele privaatsusnõuetele (nt isikuandmete kaitse üldmäärus ehk GDPR, California tarbijate privaatsuse kaitse seadus ehk CCPA ja tervisekindlustuse ülekantavuse ja aruandluse seadus ehk HIPPA). Meeskonnad auditeerivad süsteeme regulaarselt, et tagada nende vastavus nõuetele; samuti on nende ülesanne tagada seadusandjate, korrakaitse ja klientide teavitamine andmeturbemurdest.
SOC-i põhirollid
Olenevalt organisatsiooni suurusest hõlmab turbetoimingute keskus enamasti järgmiste rollidega kasutajaid.
Intsidentidele reageerimise juht
See roll määratakse enamasti üksnes väga suurtes organisatsioonides; selle rolliga inimene vastutab turbeintsidendi korral tuvastamise, analüüsimise, ohjeldamise ja taaste koordineerimise eest. Samuti on selle rolliga inimese ülesanne hallata suhtlust asjakohaste huvirühmadega.
SOC-i juhataja
SOC-i juhib juhataja, kes enamasti allub ettevõtte infoturbejuhile (CISO). Tema töökohustuste hulgas on personali juhendamine, operatiivne juhtimine, uute töötajate koolitamine ja finantsasjadega tegelemine.
Turbetehnikud
Turbetehnikud hoiavad organisatsiooni turbesüsteeme käigus. See hõlmab nii turbearhitektuuri projekteerimist kui ka turbelahendustega tutvumist, nende juurutamist ja haldamist.
Turbeanalüütikud
Turbeanalüütikud on turbeintsidentide korral kiirreageerijate rollis, kes peavad ohud tuvastama ja prioriseerima ning seejärel asuvad tegutsema kahjude piiramiseks. On võimailik, et küberründe ajal tuleb neil nakatunud host, lõppseade või kasutaja isoleerida. Mõnes organisatsioonis on turbeanalüütikud jagatud mitmesse tasemerühma vastavalt nende ohtude raskusastmele, mille kõrvaldamise eest nad vastutavad.
Ohujahtijad
Kõige kogenumaid turbeanalüütikuid nimetatakse mõnes organisatsioonis ohujahtijateks. Nende inimeste ülesanne on tuvastada ja kõrvaldada keerukamad ohud, mida automaattööriistad ei märka. Tegemist on proaktiivse rolliga, mille mõte on avardada organisatsiooni arusaama teadaolevatest ohtudest ning tuua ka seni tundmatud ohud päevavalgele veel enne ründe toimumist.
Ekspertanalüütikud
Suured organisatsioonid võivad palgata ka kriminalistide või kohtuekspertidega võrreldavaid ekspertanalüütikuid, kes koguvad ründe järel teavet selle juurpõhjuse väljaselgitamiseks. Ekspertanalüütikud otsivad süsteemist nõrkuseid, turbepoliitikate rikkumisi ja küberrünnete mustreid, millest võib abi olla sarnaste turbemurrete edaspidiseks vältimiseks.
SOC-ide tüübid
Organisatsioonid kasutavad turbetoimingute keskuste loomiseks eri võimalusi. Mõned eelistavad seada sisse spetsiaalse turbetoimingute keskuse, palgates keskusesse täiskohaga töötajad. Seda tüüpi SOC võib olla nii asutusesisene, asudes füüsiliselt samas kontoris, kui ka virtuaalne – töötajad koordineerivad tööd digitaalsete tööriistade abil kaugasukohtadest. Paljud virtuaalsed turbetoimingute keskused kasutavad lepinguliste ja täiskohaga töötajate kombinatsiooni. Turbetoimingute keskus võib töötada ka allhanke korras: sellist hallatavat SOC-i või teenusena pakutavat turbetoimingute keskust juhib hallatava teenuse pakkuja, kes vastutab ohtude ennetamise, tuvastamise ja uurimise ning ohtudele reageerimise (sh nende kõrvaldamise) eest. Samuti on võimalik kasutada asutuses töötavate inimeste ja hallatava turbeteenuse pakkuja kombinatsiooni. Sellist varianti nimetatakse kaashallatavaks või hübriid-SOC-iks. Organisatsioonid kasutavad seda lähenemist oma töötajate täiendamiseks. Kui neil näiteks pole endal ohu-uurijaid, on sageli lihtsam palgata kolmas osapool, mitte proovida neile töökohtadele leida kedagi asutuse seest.
SOC-i meeskondade olulisus
Tugev turbetoimingute keskus aitab ettevõtetel, riigiasutustel ja muudel organisatsioonidel pidevalt arenevas küberohukeskkonnas ohtudega sammu pidada. See pole lihtne ülesanne. Nii ründajad kui ka kaitsekogukond töötavad pidevalt välja uusi tehnoloogiaid ja strateegiaid. Kõigi nende muutuste haldamiseks kulub aega ja lisaks nõuab see süvenemist. Kasutades ära teadmisi laiemast küberturbekeskkonnast ning arusaamist ettevõtte sisemistest nõrkustest ja äriprioriteetidest, aitab SOC organisatsioonil välja töötada just sellise turbetegevuskava, mis on vastavuses ettevõtte pikaajaliste vajadustega. Kui rünne peaks siiski toimuma, saavad turbetoimingute keskused piirata selle mõju äritegevusele. Kuna nad jälgivad võrku ja analüüsivad teatiste andmeid pidevalt, püüavad nad ohud suurema tõenäosusega varem kinni võrreldes meeskondadega, kelle tegevus on mitme prioriteedi vahel hajutatud. Regulaarse koolituse ja põhjalikult dokumenteeritud protsesside olemasolul suudab turbetoimingute keskus käimasoleva intsidendi kiiresti lahendada ka väga stressirohkes olukorras. Meeskondadele, kes ei tegele turbetoimingutega pidevalt – iga päev, päev läbi – võib see olla palju raskem.
SOC-i eelised
Tuues kokku inimesed, tööriistad ja protsessid, mis kaitsevad organisatsiooni ohtude eest, aitab turbetoimingute keskus organisatsioonil end rünnete ja turbemurrete eest kaitsta tõhusamalt.
Tugev turbeseisund
Organisatsiooni turbe tugevdamine on üks neid töid, mis ei saa kunagi otsa. Nõrkuste tuvastamine ja muutuva tehnoloogiaga sammu pidamine nõuab pidevat jälgimist, analüüsimist ja plaanimist. Kui inimesed peavad samal ajal tegelema mitme olulise ülesandega, on lihtne jätta need asjad unarusse ja keskenduda tööle, mis näib hetkel pakilisem.
Tsentraliseeritud SOC aitab tagada protsesside ja tehnoloogiate pideva edasiarendamise, mis omakorda vähendab eduka ründe ohtu.
Privaatsuseeskirjade järgimine
Eri tegevusvaldkondades, riikides, regioonides jm on kasutusel lai valik eeskirju ja määruseid, mis reguleerivad andmete kogumist, talletamist ja kasutamist. Paljud neist nõuavad organisatsioonidelt andmeturbemurretest teatamist ja isikuandmete kustutamist, kui kasutaja (nt tarbija) seda nõuab. Seetõttu on õigete protsesside ja protseduuride olemasolu õige tehnoloogia kasutamisega sama oluline. Turbetoimingute keskuse liikmed aitavad organisatsioonidel nõudeid täita, võttes tehnoloogia ja andmeprotsesside ajakohasuse tagamise enda kanda.
Kiire reageerimine intsidentidele
Küberründe avastamise ja peatamise kiirus on äärmiselt oluline. Õigete tööriistade, inimeste ja analüüsiteabe korral pannakse paljudele turbemurretele piir veel enne seda, kui need jõuavad kahju teha. Paraku oskavad ka ründajad end varjata, varastades tohutul hulgal andmeid ja hankides endale suuremad õigused enne, kui keegi seda märkab. Turbeintsident on ka väga stressirohke sündmus, eriti inimestele, kellel pole intsidentidele reageerimise kogemust.
Ühtse ohuteabe ja põhjalikult dokumenteeritud protseduurireeglite abil saavad SOC-i meeskonnad ründed kiiresti tuvastada, neile reageerida ja neist taastuda.
Väiksemad turbemurdekulud
Edukas turbemurre võib organisatsioonile väga kalliks maksma minna. Ründest toibumise ja taastega kaasnevad sageli märkimisväärsed tööseisakud. Paljud ettevõtted jäävad ilma oma klientidest või ei suuda vahetult pärast intsidenti uusi kliente leida. Ründajatest ees püsides ja kiiresti reageerides aitab turbetoimingute keskus organisatsioonidel säästa nii raha kui ka tavapärase tööseisu taastamiseks kuluvat aega.
SOC-i meeskondade head tavad
Kuna turbetoimingute keskusel on palju kohustusi, peab selle tegevus olema soovitud tulemuste saamiseks tõhusalt korraldatud ja juhitud. Tugevate turbetoimingute keskustega organisatsioonides on kasutusele võetud järgmised head tavad.
Äritegevusega kooskõlastatud strateegia
Ka väga hästi rahastatud SOC peab valima, millele raha ja aega pühendada. Enamasti alustavad organisatsioonid riskide hindamisest, et teha kindlaks peamised riskid ja parimad võimalused ettevõtte äri jaoks. See aitab määratleda, mida on vaja kaitsta. Samuti peab SOC mõistma keskkonda, kus varad asuvad. Paljudes ettevõtetes on kasutusel keerukad keskkonnad, kus osa andmeid ja rakendusi on kohapealsed, teised aga mitmes pilvkeskkonnas laiali. Strateegia aitab otsustada, kas turbetöötajad peavad olema igal ajal kättesaadavad ja kas mõistlikum oleks luua ettevõttes oma turbetoimingute keskus või professionaalne teenus mujalt sisse osta.
Andekas, hea väljaõppega personal
Turbetoimingute keskuse tõhusa töö tagamiseks on vaja hea väljaõppega töötajaid, kes oma teadmisi ja oskusi pidevalt täiendavad. Alustuseks on vaja leida parimad inimesed, ent see võib olla keeruline, kuna konkurents on küberturbeturul tihe. Lünkade vältimiseks proovivad paljud asutused ja ettevõtted leida erinevate oskustega inimesi (nt süsteemide ja analüüsiteabe jälgimine, teatiste haldamine, intsidentide tuvastamine ja analüüs, ohujaht, eetiline häkkimine, küberkriminalistika ja pöördprojekteerimine). Samuti kasutatakse rutiinsete toimingute automatiseerimiseks tehnoloogiat, mis aitab ka väiksematel meeskondadel tõhusalt töötada ja toetab nooremanalüütikute tööd. Regulaarse koolituse pakkumine on selline investeering, mis aitab ettevõtetel olulisi töötajaid hoida, likvideerida lüngad töötajate oskustes ja toetada inimeste karjääri.
Täielik nähtavus
Kuna rünne võib alata kõigest ühest lõpp-punktist, peab turbetoimingute keskusel kindlasti olema täielik ülevaade organisatsiooni keskkonnast, sealhulgas kõigest, mida haldab mõni kolmas osapool.
Õiged tööriistad
Turbesündmusi on nii palju, et need võivad igal meeskonnal lihtsalt üle pea kasvada. Tõhusad turbetoimingute keskused investeerivad kvaliteetsetesse turbetööriistadesse, mis töötavad hästi koos ning kasutavad tehisintellekti ja automaatikat oluliste riskide esiletõstmiseks. Koostalitlusvõime on katvuses lünkade vältimiseks võtmetähtsusega.
SOC-i tööriistad ja tehnoloogiad
Turbeteabe ja -sündmuste haldus (SIEM)
Üks iga turbetoimingute keskuse olulisemaid tööriistu on pilvepõhine SIEM-i lahendus, mis koondab andmeid mitmest turbelahendusest ja logifailidest. Ohuanalüüsi ja tehisintellekti abil aitavad need tööriistad SOC-idel tuvastada uusi ohte, intsidentidele kiiremini reageerida ja ründajatest ees püsida.
Turbe korraldamine, automatiseerimine ja reageerimine (SOAR)
SOAR automatiseerib korduvad ja prognoositavad rikastamis-, reageerimis- ja kahjutustamistoimingud, et inimesed saaksid oma aja ja ressursid pühendada põhjalikumatele uurimistele ja ohujahile.
Laiendatud ohutuvastus ja -kõrvaldus (XDR)
XDR on teenusena pakutava tarkvara (SaaS) põhine tööriist, mis hõlmab terviklikku optimeeritud turvet, integreerides eri turbetooted ja andmed lihtsustatud lahendusteks. Need lahendused võimaldavad organisatsioonidel ennetavalt ja tõhusalt tegelda pidevalt muutuva ohumaastiku ja keerukate turbeprobleemidega mitmikpilv- ja hübriidkeskkondades. Erinevalt näiteks lõpp-punkti ohutuvastuse ja -kõrvalduse (EDR) süsteemidest laiendab XDR turbemeetmete ulatust, kuna integreerib kaitse paljude toodetega (sh organisatsiooni lõppseadmed, serverid, pilvrakendused, meilikontod jpm). Andmeturbe täiustamiseks ja ohtude vastu võitlemiseks kombineerib XDR ohtude ennetamise, tuvastamise, uurimise ja reageerimise, pakkumaks nähtavust, analüüsi, korreleeritud intsidenditeateid ja automaatseid reaktsioonitoiminguid.
Tulemüür
Tulemüür jälgib võrku saabuvat ja võrgust väljuvat liiklust, lubades või blokeerides liikluse turbetoimingute keskuse määratletud turbereeglite alusel.
Logihaldus
Logihalduslahendus, mis sageli moodustab osa SIEM-ist, logib organisatsioonis igast tarkvararakendusest, riistvaraseadmest ja lõpp-punktist saabuvad teatised. Need logid annavad teavet võrgutegevuse kohta.
Need tööriistad kontrollivad võrku, et tuvastada nõrkusi, mida ründaja saaks ära kasutada.
Kasutajate ja olemite käitumise analüüs
Paljudesse tänapäevastesse turbetööriistadesse sisseehitatud kasutajate ja olemite käitumise analüüs kasutab tehisintellekti eri seadmetest kogutud andmete analüüsimiseks, et määrata iga kasutaja ja olemi jaoks kindlaks tavategevuse võrdlusalus. Kui mõni sündmus kaldub sellest võrdlusalusest kõrvale, märgitakse see edasise analüüsi jaoks.
SOC ja SIEM
Ilma SIEM-ita oleks turbetoimingute keskusel väga raske oma eesmärke saavutada. Tänapäevast SIEM-i iseloomustavad järgmised omadused.
- Logide kogumine: SIEM kogub logiandmeid ja korreleerib teatised, mida analüütikud kasutavad ohtude tuvastamiseks ja jahtimiseks.
- Kontekst: kuna SIEM kogub andmeid kogu organisatsiooni tehnoloogia kohta, aitab see keerukate rünnete tuvastamiseks üksikud intsidendid omavahel kokku viia.
- Vähem teatisi: kasutades teatiste korreleerimiseks ja kõige tõsisemate sündmuste tuvastamiseks analüüsiteavet ja tehisintellekti, vähendab SIEM nende intsidentide arvu, mida inimesed peavad käsitsi läbi vaatama ja analüüsima.
- Automaatne reageerimine: valmisreeglid võimaldavad SIEM-idel tuvastada arvatavad ohud ja blokeerida need ilma inimeste sekkumiseta.
Oluline on märkida, et ainult SIEM-ist organisatsiooni kaitsmiseks siiski ei piisa. Vaja läheb ka inimesi, kes integreeriksid SIEM-i teiste süsteemidega, määratleksid reeglipõhise tuvastamise jaoks soovitud parameetrid ja hindaksid teateid. Just seetõttu on turbetoimingute keskuse strateegia väljatöötamine ja õigete inimeste palkamine väga oluline.
Turbetoimingute keskuse lahendused
Saadaval on lai valik lahendusi, mis aitavad turbetoimingute keskusel asutust või ettevõtet kaitsta. Parimad lahendused töötavad koos, pakkudes täielikku katvust nii kohapeal kui ka mitmes pilvkeskkonnas. Microsofti turbeteenus pakub igakülgseid terviklahendusi, mis aitavad turbetoimingute keskustel kõrvaldada lüngad katvuses ja saada keskkonnast 360-kraadine ülevaade. Microsoft Sentinel on pilvepõhine SIEM, mis integreeritakse Microsoft Defenderi laiendatud ohutuvastuse ja -kõrvalduse lahendustega, et anda analüütikute ja ohujahtijate käsutusse küberrünnete märkamiseks ja peatamiseks vajalikud andmed.
Lisateave Microsofti turbeteenuste kohta
Microsofti SIEM ja XDR
Hankige integreeritud ohutõrje kõigi seadmete, kasutajaidentiteetide, rakenduste, meilikontode, andmete ja pilvepõhiste talitlusüksuste jaoks.
Microsoft Defenderi XDR
Peatage ründed domeenidevahelise ohutõrje abil, mis töötab Microsofti XDR-i platvormil.
Microsoft Sentinel
Avastage keerukad ohud ja reageerige otsustavalt lihtsa ja võimsa SIEM-lahendusega, mis põhineb pilvel ja tehisintellektil.
Microsoft Defenderi ohuteave
Saate aidata tuvastada ja kõrvaldada ründajaid ning nende tööriistu tänu enneolematule ülevaatele arenevast ohumaastikust.
Microsoft Defenderi välisründepinna haldus
Nähtavus ka väljaspool tulemüüri aitab teil üles leida mittehallatavad ressursid ja tuua päevavalgele nõrkused kogu teie mitmikpilvkeskkonnas.
Korduma kippuvad küsimused
-
Võrgu töökeskus (NOC) keskendub võrgu jõudlusele ja kiirusele. See mitte ainult ei reageeri katkestustele, vaid jälgib ennetavalt võrku, et tuvastada probleeme, mis võivad liiklust aeglustada. SOC jälgib ka võrku ja muid keskkondi, kuid otsib küberrünnaku kohta tõendusmaterjale. Kuna turbejuhtum võib häirida võrgu jõudlust, peavad NOC-d ja SOC-d tegevust koordineerima. Mõned organisatsioonid majutavad oma SOC-t NOC-s, et innustada koostööd.
-
SOC meeskonnad jälgivad servereid, seadmeid, andmebaase, võrgurakendusi, veebisaite ja muid süsteeme, et potentsiaalseid ohte reaalajas leida. Samuti teevad nad ennetavat turvalisust, hoides end kursis uusimate ohtudega ning tuvastades ja lahendades süsteemi või protsessi nõrkused, enne kui ründaja neid ära kasutab. Kui organisatsioon satub eduka rünnaku ohvriks, vastutab SOC meeskond vajaduse korral ohtude eemaldamise ning süsteemide ja varukoopiate taastamise eest.
-
SOC koosneb inimestest, tööriistadest ja protsessidest, mis aitavad organisatsiooni küberrünnakute eest kaitsta. Eesmärkide saavutamiseks täidab see järgmisi funktsioone: varade ja tehnoloogia inventuur, rutiinne hooldus ja valmidus, pidev jälgimine, ohutuvastus, ohuanalüüs, logihaldus, intsidendile reageerimine, taaste ja kahjutustamine, algpõhjuste uurimised, turbe viimistlemine ja nõuetelevastavuse haldus.
-
Tugev SOC aitab organisatsioonil tõhusamalt ja tõhusamalt hallata turvalisust, ühendades kaitsjad, ohutuvastustööriistad ja turbeprotsessid. SOC-ga organisatsioonid saavad oma turbeprotsesse täiustada, reageerida ohtudele kiiremini ja paremini hallata nõuetele vastavust kui ettevõtteid, kellel pole SOC-i.
-
SOC on inimesed, protsessid ja tööriistad, mis tagavad organisatsiooni kaitse küberrünnakute eest. SIEM on üks paljudest tööriistadest, mille abil SOC säilitab nähtavuse ja reageerib rünnetele. SIEM koondab logifaile ning kasutab analüüsi ja automatiseerimist, et tuua nähtavale tõsiseltvõetavad ohud SOC liikmetele, kes saavad siis otsustada, kuidas reageerida.
Jälgige Microsofti