Kas ir drošības operāciju centrs (SOC)?
Uzziniet, kā drošības operāciju centra komandas ātri nosaka, prioritizē un šķiro potenciālos kiberuzbrukumus.
Kas ir SOC?
SOC ir centralizēta funkcija vai komanda, kas atbild par organizācijas kiberdrošības stāvokļa uzlabošanu un apdraudējumu nepieļaušanu, noteikšanu un reaģēšanu uz tiem. SOC komanda, kas var atrasties uz vietas vai būt kā ārpakalpojums, pārrauga identitātes, galapunktus, serverus, datu bāzes, tīkla programmas, tīmekļa vietnes un citas sistēmas, lai reāllaikā atklātu iespējamos kiberuzbrukumus. Tā arī veic proaktīvu drošības darbu, izmantojot jaunāko draudu informāciju, lai sekotu līdzi draudu grupām un infrastruktūrai, kā arī identificētu un novērstu sistēmu vai procesu ievainojamības, pirms uzbrucēji tās izmanto. Lielākā daļa SOC darbojas visu diennakti septiņas dienas nedēļā, un lielas organizācijas, kas aptver vairākas valstis, arī var būt atkarīgas no globāla drošības operāciju centra (GSOC), lai sekotu līdzi vispasaules drošības apdraudējumiem un koordinētu vairāku vietējo SOC noteikšanu un reaģēšanu.
SOC funkcijas
SOC komandas dalībnieki veic tālāk norādītās funkcijas, lai palīdzētu novērst uzbrukumus, reaģēt uz tiem un atkopties no uzbrukumiem.
Līdzekļu un rīku krājumi
Lai novērstu pārklājuma iztrūkumus, SOC ir nepieciešami to resursu redzamība, kurus tas aizsargā, un ieskats rīkos, ko tas izmanto, lai aizsargātu organizāciju. Tas nozīmē visu lokālo un daudzos mākoņos esošo datu bāzu, mākoņpakalpojumu, identitāšu, programmu un galapunktu ņemšanu vērā. Komanda arī seko līdzi visiem organizācijā izmantotajiem drošības risinājumiem, piemēram, ugunsmūriem, ļaunprogrammatūras novēršanas, izspiedējprogrammatūras novēršanas un pārraudzības programmatūrai.
Uzbrukumu tvēruma samazināšana
Galvenā SOC atbildība ir mazināt organizācijas uzbrukumu tvērumu. SOC to dara, uzturot visu darba slodžu un līdzekļu inventāru, lietojot drošības ielāpus programmatūrai un ugunsmūriem, identificējot nepareizas konfigurācijas un pievienojot jaunus līdzekļus, tiklīdz tie nonāk tiešsaistē. Komandas dalībnieki ir atbildīgi arī par jauno apdraudējumu izpēti un riskantuma analīzi, kas palīdz viņiem būt soli priekšā jaunākajiem apdraudējumiem.
Nepārtraukta pārraudzība
Izmantojot drošības analīzes risinājumus, piemēram, drošības informācijas uzņēmuma pārvaldības (security information enterprise management — SIEM) risinājumu, drošības orķestrācijas, automatizācijas un reaģēšanas (security orchestration, automation, and response — SOAR) risinājumu vai paplašinātās atklāšanas un reaģēšanas (extended detection and response — XDR) risinājumu, SOC komandas pārrauga visu vidi — lokālo vidi, mākoņus, programmas, tīklus un ierīces — katru dienu visu diennakti, lai atklātu anomālijas vai aizdomīgas darbības. Šie rīki apkopo telemetriju, datus un dažos gadījumos automatizē atbildi uz incidentu.
Draudu informācija
SOC izmanto arī datu analīzi, ārējās plūsmas un produktu apdraudējumu atskaites, lai gūtu ieskatu uzbrucēju darbībā, infrastruktūrā un motīvos. Šī informācija sniedz plašu ieskatu par to, kas notiek internetā, un palīdz komandām izprast, kā darbojas grupas. Izmantojot šo informāciju, SOC var ātri atklāt apdraudējumus un aizsargāt organizāciju pret jauniem riskiem.
Draudu noteikšana
SOC komandas izmanto SIEM un XDR risinājumu ģenerētos datus, lai identificētu apdraudējumus. Identificēšana sākas, izfiltrējot aplami pozitīvos rezultātus no reālām problēmām. Pēc komandas nosaka apdraudējumu prioritāti pēc nozīmīguma un iespējamās ietekmes uz uzņēmumu.
Žurnālu pārvaldība
SOC ir atbildīgs arī par to žurnālu datu apkopošanu, uzturēšanu un analīzi, kurus nodrošina katrs galapunkts, operētājsistēma, virtuālā mašīna, lokālā programma vai tīkla notikums. Analīze palīdz veidot parastās darbības bāzes datus un atklāt anomālijas, kas varētu liecināt par ļaunprogrammatūru, izspiedējprogrammatūru vai vīrusiem.
Atbilde uz incidentu
Tiklīdz kiberuzbrukums ir identificēts, SOC ātri veic darbības, lai ierobežotu kaitējumu organizācijai ar pēc iespējas iespējami mazākiem uzņēmējdarbības traucējumiem. Darbības var ietvert ietekmēto galapunktu un programmu izslēgšanu vai izolēšanu, apdraudēto kontu aizturēšanu, inficēto failu noņemšanu, kā arī pretvīrusu un ļaunprogrammatūras novēršanas programmatūras darbināšanu.
Atkopšana un koriģēšana
Pēc uzbrukuma SOC ir atbildīgs par uzņēmuma atjaunošanu tā sākotnējā stāvoklī. Komanda notīrīs un atkārtoti pievienos diskus, identitātes, e-pastu un galapunktus, restartēs programmas, pārslēgs uz dublējošām sistēmām un atkops datus.
Pamatcēloņa izmeklēšana
Lai nepieļautu līdzīgu uzbrukumu atkārtošanos, SOC veic rūpīgu izmeklēšanu, lai noteiktu ievainojamības, sliktus drošības procesus un apgūtu citas mācības par to, kas veicināja šo incidentu.
Drošības precizēšana
SOC izmanto visu informāciju, kas apkopota incidenta laikā, lai novērstu ievainojamības, uzlabotu procesus un politikas, kā arī atjauninātu drošības rīcības plānu.
Atbilstības pārvaldība
Kritiska SOC atbildības daļa ir nodrošināt, lai programmas, drošības rīki un procesi atbilstu konfidencialitātes noteikumiem, piemēram, Vispārīgajai datu aizsardzības regulai (VDAR), Kalifornijas patērētāju konfidencialitātes likumam (California Consumer Privacy Act — CCPA) un Likumam par veselības apdrošināšanas informāciju (Health Insurance Portability and Accountability Act — HIPPA). Komandas regulāri auditē sistēmas, lai nodrošinātu atbilstību un pārliecinātos, vai regulatori, tiesībaizsardzības iestādes un klienti tiek informēti pēc datu drošības pārkāpuma.
Galvenās lomas SOC
Atkarībā no organizācijas lieluma tipisks SOC ietver šādas lomas:
Atbildes reakcijas uz incidentu direktors
Šī loma, kas parasti ir redzama tikai ļoti lielās organizācijās, ir atbildīga par atklāšanas, analīzes, ierobežošanas un atkopšanas koordinēšanu drošības incidenta laikā. Tā pārvalda arī saziņu ar atbilstošām ieinteresētām pusēm.
SOC pārvaldnieks
SOC pārrauga pārvaldnieks, kurš parasti ziņo vecākajam informācijas drošības speciālistam (Chief Information Security Officer — CISO). Pienākumi ietver personāla pārraudzību, darbību izpildi, jaunu darbinieku apmācību un finanšu pārvaldību.
Drošības inženieri
Drošības inženieri uztur organizācijas drošības sistēmu darbību. Tas ietver drošības arhitektūras noformēšanu un drošības risinājumu izpēti, ieviešanu un uzturēšanu.
Drošības analītiķi
Drošības analītiķi ir pirmie, kas reaģē uz drošības incidentu. Tie identificē apdraudējumus, piešķir tiem prioritāti un pēc tam rīkojas, lai ierobežotu kaitējumu. Kiberuzbrukuma laikā pēc nepieciešamības tie var izolēt resursdatoru, galapunktu vai lietotāju, kas ir inficēts. Dažās organizācijās drošības analītiķi tiek iedalīti pakāpēs, pamatojoties uz to apdraudējumu nozīmīgumu, par kuru novēršanu tie ir atbildīgi.
Apdraudējumu mednieki
Dažās organizācijās vispieredzējušākos drošības analītiķus sauc par apdraudējumu medniekiem. Šīs personas identificē sarežģītus apdraudējumus, kurus neuztver automatizēti rīki, un reaģē uz tie. Šī ir proaktīva loma, kas veidota, lai padziļinātu organizācijas izpratni par zināmajiem apdraudējumiem un atklātu nezināmus apdraudējumus, pirms notiek uzbrukums.
Izmeklēšanas analītiķi
Lielākas organizācijas var arī nolīgt izmeklēšanas analītiķus, kuri apkopo informāciju pēc pārkāpuma, lai noteiktu tā cēloņus. Viņi meklē sistēmas ievainojamības, drošības politiku pārkāpumus un kiberuzbrukumu modeļus, kas varētu noderēt līdzīgu apdraudējumu nepieļaušanai turpmāk.
SOC veidi
Pastāv vairāki atšķirīgi veidi, kā organizācijas iestata savus SOC. Dažas izvēlas veidot atvēlētu SOC ar pilna laika darbiniekiem. Šāda veida SOC var būt iekšējs ar fizisku lokālo atrašanās vietu, vai arī tas var būt virtuāls ar darbiniekiem, kas tiek attāli koordinēti, izmantojot ciparu rīkus. Daudzi virtuālie SOC izmanto līguma un pilna laika darbinieku kombināciju. Ārpakalpojumu SOC, ko var saukt arī par pārvaldītu SOC vai drošības operāciju centra pakalpojumu, darbina pārvaldīts drošības pakalpojumu sniedzējs, kas uzņemas atbildību par apdraudējumu novēršanu, noteikšanu, izmeklēšanu un reaģēšanu uz tiem. Var izmantot arī iekšējo darbinieku un pārvaldīta drošības pakalpojumu sniedzēja kombināciju. Šī versija tiek dēvēta par koppārvaldītu vai hibrīdu SOC. Organizācijas izmanto šo pieeju, lai papildinātu savus darbiniekus. Piemēram, ja tām nav apdraudējumu izmeklētāju, iespējams, būs vieglāk nolīgt trešo pusi, nevis mēģināt nokomplektēt ar saviem darbiniekiem.
SOC komandu svarīgums
Spēcīgs SOC uzņēmumiem, valsts iestādēm un citām organizācijām palīdz būt soli priekšā kiberdraudu ainavai, kas nemitīgi attīstās. Tas nav vienkāršs uzdevums. Gan uzbrucēji, gan aizsardzības kopiena bieži izstrādā jaunas tehnoloģijas un stratēģijas, un visu šo izmaiņu pārvaldībai ir nepieciešams laiks un fokuss. Izmantojot savas zināšanas par plašāku kiberdrošības vidi, kā arī savu izpratni par iekšējām vājībām un uzņēmējdarbības prioritātēm, SOC palīdz organizācijai izstrādāt drošības rīcības plānu, kas atbilst uzņēmuma ilgtermiņa vajadzībām. SOC var arī ierobežot uzņēmējdarbības ietekmi, kad notiek uzbrukums. Tā kā tie nepārtraukti pārrauga tīklu un analizē brīdinājuma datus, pastāv lielāka iespēja, ka tie konstatēs apdraudējumus agrāk nekā komanda, kurai ir vairākas citas prioritātes. Izmantojot regulāru apmācību un labi dokumentētus procesus, SOC var ātri pievērsties pašreizējam incidentam pat tad, ja ir liels stress. Tas var būt sarežģīti komandām, kas visu laiku nav koncentrējušās uz drošības operācijām.
SOC ieguvumi
Apvienojot personas, rīkus un procesus, kas tiek izmantoti, lai aizsargātu organizāciju pret apdraudējumiem, SOC palīdz organizācijai efektīvāk un labāk aizsargāties pret uzbrukumiem un pārkāpumiem.
Stiprs drošības stāvoklis
Organizācijas drošības uzlabošana ir darbs, kas nekad nav pabeigts. Ir nepieciešama pastāvīga pārraudzība, analīze un plānošana, lai atklātu ievainojamības un sekotu līdzi mainīgajām tehnoloģijām. Kad cilvēkiem ir konkurējošas prioritātes, šo darbu var viegli palaist garām, lai paveiktu uzdevumus, kas šķiet steidzamāki.
Centralizēts SOC palīdz nodrošināt nepārtrauktu procesu un tehnoloģiju uzlabošanu, samazinot sekmīga uzbrukuma risku.
Atbilstība konfidencialitātes noteikumiem
Nozarēm, štatiem, valstīm un reģioniem ir atšķirīgi noteikumi, kas regulē datu apkopošanu, glabāšanu un izmantošanu. Daudz kur organizācijām tiek prasīts ziņot par datu aizsardzības pārkāpumiem un dzēst personas datus pēc patērētāja pieprasījuma. Pareizo procesu un procedūru ieviešana ir tikpat svarīga kā pareizo tehnoloģiju izmantošana. SOC dalībnieki palīdz organizācijām ievērot atbilstību, pārņemot atjauninātu tehnoloģiju un datu procesu uzturēšanu.
Ātra atbildes reakcija uz incidentu
Ir ļoti svarīgi, cik ātri kiberuzbrukums tiek atklāts un novērsts. Izmantojot pareizos rīkus, personas un informāciju, daudzi pārkāpumi tiek apturēti pirms jebkādu bojājumu veikšanas. Tomēr sliktie aktori arī ir pietiekami viedi, lai paliktu aizsegā, zogot apjomīgus datu apjomus un eskalējot savas privilēģijas, pirms kāds to pamana. Drošības incidents ir arī ļoti stresains notikums, īpaši cilvēkiem, kuriem nav reaģēšanas uz incidentu pieredzes.
Izmantojot vienoto draudu informāciju un labi dokumentētas procedūras, SOC komandas var ātri noteikt uzbrukumus, reaģēt uz tiem un atkopties no tiem.
Samazinātas pārkāpumu izmaksas
Sekmīgs pārkāpums organizācijām var izmaksāt ļoti dārgi. Atkopšana bieži vien izraisa ievērojamu nedarbošanās laiku, un daudzi uzņēmumi zaudē klientus vai īsi pēc incidenta nespēj iegūt jaunus kontus. Apsteidzot uzbrucējus un ātri reaģējot, SOC palīdz organizācijām ietaupīt laiku un naudu, ļaujot atgriezties pie parastās darbības.
Paraugprakse SOC komandām
Ar tik daudziem pienākumiem SOC ir efektīvi organizētam un pārvaldītam, lai sasniegtu rezultātus. Organizācijas ar spēcīgu SOC ievieš šādu paraugpraksi:
Uzņēmējdarbībai atbilstoša stratēģija
Pat vislabāk finansētajam SOC ir jāpieņem lēmumi par to, kur koncentrēt laiku un naudu. Organizācijas parasti sāk ar riska novērtējumu, lai identificētu lielākās riska jomas un lielākās iespējas uzņēmumam. Tas palīdz noteikt, kas ir jāsargā. SOC ir arī jāizprot vide, kurā atrodas aizsargājamie resursi. Daudziem uzņēmumiem ir sarežģītas vides, kur daļa datu un programmu atrodas lokālā vietā, bet daļa ir vairākos mākoņos. Stratēģija palīdz noteikt, vai drošības speciālistiem ir jābūt pieejamiem katru dienu jebkurā laikā un vai labāk SOC ir veidot savā uzņēmumā vai izmantot profesionālu pakalpojumu.
Talantīgi, labi apmācīti darbinieki
Efektīva SOC atslēga ir ļoti prasmīgi darbinieki, kas nepārtraukti attīstās. Tas sākas ar vislabāko talantu atrašanu, kas var būt sarežģīti, jo drošības darbinieku tirgū ir ļoti liela konkurence. Lai izvairītos no prasmju iztrūkumiem, daudzas organizācijas mēģina atrast cilvēkus ar dažādām kompetencēm, piemēram, sistēmas un informācijas pārraudzībā, brīdinājumu pārvaldībā, incidentu noteikšanā un analīzē, draudu medībās, ētiskajā urķēšanā, kibernoziegumu izmeklēšanā un dekonstruēšanā. Tās arī izvieto tehnoloģiju, kas automatizē uzdevumus, lai mazākas komandas varētu būt efektīvākas un uzlabotu jaunāko analītiķu sniegumu. Ieguldot regulārās apmācībās, organizācijas var saglabāt pamatdarbiniekus, aizpildīt prasmju iztrūkumu un sekmēt darbinieku karjeru.
Pilnīga pārredzamība
Tā kā uzbrukums var sākties ar vienu galapunktu, ir kritiski svarīgi, lai SOC būtu redzamība visā organizācijas vidē, ieskaitot visu, ko pārvalda trešās personas.
Pareizie rīki
Pastāv tik daudz drošības notikumu, ka komandas var viegli kļūt pārņemtas. Efektīvi SOC investē labos drošības rīkos, kas labi sadarbojas un izmanto mākslīgo intelektu un automatizāciju, lai izceltu būtiskus riskus. Sadarbspēja ir atslēga tam, lai izvairītos no pārklājuma nepilnībām.
SOC rīki un tehnoloģijas
Drošības informācija un notikumu pārvaldība (SIEM)
Viens no vissvarīgākajiem SOC rīkiem ir mākonī izvietots SIEM risinājums, kas apkopo datus no vairākiem drošības risinājumiem un žurnālfailiem. Izmantojot draudu informāciju un mākslīgo intelektu, šie rīki palīdz SOC atklāt jaunos apdraudējumus, paātrināt reaģēšanu uz incidentiem un būt soli priekšā uzbrucējiem.
Drošības orķestrācija, automatizācija un reaģēšana (security orchestration, automation, and response — SOAR)
SOAR automatizē periodiskus un prognozējamus bagātināšanas, reaģēšanas un koriģēšanas uzdevumus, atbrīvojot laiku un resursus padziļinātākai izpētei un medībām.
Paplašinātā atklāšana un reaģēšana (Extended Detection and Response — XDR)
XDR ir programmatūras pakalpojuma rīks, kas piedāvā vienotu, optimizētu drošību, integrējot drošības produktus un datus vienkāršotos risinājumos. Organizācijas izmanto šos risinājumus, lai proaktīvi un efektīvi pievērstos jauno apdraudējumu ainavai un sarežģītiem drošības izaicinājumiem vairākmākoņu hibrīdajā vidē. Pretstatā tādām sistēmām kā galapunktu atklāšana un reaģēšana (endpoint detection and response — EDR), XDR paplašina drošības tvērumu, integrējot aizsardzību plašākā produktu klāstā, tostarp organizācijas galapunktos, serveros, mākoņprogrammās, e-pasta ziņojumos un daudz kur citur. Šeit XDR apvieno novēršanu, atklāšanu, izmeklēšanu un atbildes reakciju, lai nodrošinātu redzamību, analīzi, savstarpēji saistītu incidentu brīdinājumus un automatizētas atbildes, lai uzlabotu datu drošību un cīnītos ar apdraudējumiem.
Ugunsmūris
Ugunsmūris pārrauga trafiku uz tīklu un no tā, atļaujot vai bloķējot trafiku atbilstoši SOC definētajām drošības kārtulām.
Žurnālu pārvaldība
Žurnālu pārvaldības risinājums bieži vien ir iekļauts kā daļa no SIEM un reģistrē visus brīdinājumus, kuri nāk no katras programmatūras daļas, aparatūras un galapunkta, kas darbojas organizācijā. Šie žurnāli sniedz informāciju par tīkla darbību.
Šie rīki skenē tīklu, lai palīdzētu noteikt visas vājās vietas, ko varētu izmantot uzbrucējs.
Lietotāju un entītiju uzvedības analīze
Lietotāju un entītiju uzvedības analīze ir iebūvēta daudzos modernos drošības rīkos un izmanto mākslīgo intelektu, lai analizētu datus, kas ir apkopoti no dažādām ierīcēm, lai izveidotu parastās darbības bāzes datus katram lietotājam un entītijai. Ja kāds notikums atšķiras no bāzes datiem, tas tiek atzīmēts turpmākai analīzei.
SOC un SIEM
Bez SIEM SOC būtu ļoti grūti izpildīt savu uzdevumu. Moderna SIEM piedāvā:
- Žurnāla apkopošana: SIEM apkopo žurnāla datus un korelē brīdinājumus, kurus analītiķi izmanto apdraudējumu noteikšanai un medībām.
- Konteksts: Tā kā SIEM apkopo datus no visām organizācijas tehnoloģijām, tas palīdz saistīt atsevišķus incidentus, lai identificētu sarežģītus uzbrukumus.
- Mazāk brīdinājumu: Izmantojot analīzi un AI, lai saistītu brīdinājumus un identificētu nopietnos notikumus, SIEM samazina to incidentu skaitu, kas lietotājiem ir jāpārskata un jāanalizē.
- Automatizēta atbilde: Iebūvētās kārtulas ļauj SIEM identificēt iespējamos apdraudējumus un bloķēt tos bez cilvēka mijiedarbības.
Ir svarīgi apzināties, ka ar SIEM vien nepietiek, lai aizsargātu organizāciju. Cilvēki ir nepieciešami, lai integrētu SIEM ar citām sistēmām, definētu parametrus uz kārtulām balstītai noteikšanai un novērtētu brīdinājumus. Tāpēc SOC stratēģijas definēšana un pareizo darbinieku nolīgšana ir kritiski svarīga.
SOC risinājumi
Pastāv plašs risinājumu klāsts, lai palīdzētu SOC aizsargāt organizāciju. Vislabākie sadarbojas, lai nodrošinātu pilnīgu pārklājumu lokālajai un vairākmākoņu videi. Microsoft drošība nodrošina visaptverošus risinājumus, kas palīdz SOC novērst pārklājuma trūkumus un iegūt visaptverošu pārskatu par savu vidi. Microsoft Sentinel ir mākonī izvietots SIEM, kas integrējas ar Microsoft Defender paplašinātās atklāšanas un reaģēšanas risinājumiem, lai analītiķiem un apdraudējumu medniekiem sniegtu datus, kas tiem ir nepieciešami kiberuzbrukumu atrašanai un apturēšanai.
Papildinformācija par Microsoft drošību
Microsoft SIEM un XDR
Iegūstiet integrētu pretdraudu aizsardzību visās ierīcēs, identitātēs, programmās, e-pastā, datos un mākoņa darba slodzēs.
Microsoft Defender XDR
Apturiet uzbrukumus, izmantojot starpdomēnu pretdraudu aizsardzību, ko nodrošina Microsoft XDR.
Microsoft Sentinel
Atklājiet sarežģītus apdraudējumus un izlēmīgi reaģējiet uz tiem ar vienkāršu un jaudīgu SIEM risinājumu, kura darbību nodrošina mākoņpakalpojumi un mākslīgais intelekts.
Microsoft Defender draudu informācija
Palīdziet identificēt un novērst uzbrucējus un to rīkus, izmantojot nepārspējamu skatu uz augošo draudu ainavu.
Microsoft Defender ārēju uzbrukumu tvēruma pārvaldība
Iegūstiet nepārtrauktu redzamību ārpus ugunsmūra, kas palīdzēs atklāt nepārvaldītus resursus un vājās vietas jūsu vairākmākoņu vidē.
Bieži uzdotie jautājumi
-
Tīkla darbību centrā (network operation center — NOC) galvenā uzmanība ir pievērsta tīkla veiktspējai un ātrumam. Tas ne tikai reaģē uz darbības pārtraukumiem, bet arī proaktīvi uzrauga tīklu, lai noteiktu problēmas, kas varētu palēnināt trafiku. SOC arī uzrauga tīklu un citas vides, taču tas meklē pierādījumus par kiberuzbrukumu. Tā kā drošības incidents var traucēt tīkla veiktspēju, NOC un SOC ir jākoordinē darbība. Dažas organizācijas savu SOC glabā savā NOC, lai veicinātu sadarbību.
-
SOC komandas pārrauga serverus, ierīces, datu bāzes, tīkla programmas, tīmekļa vietnes un citas sistēmas, lai reāllaikā atklātu potenciālos apdraudējumus. Viņi arī veic proaktīvu drošības darbu, sekojot līdzi iespējamiem jauniem apdraudējumiem, identificējot un novēršot sistēmas vai procesu ievainojamības, pirms uzbrucējs tās izmanto. Ja organizācija cieš no sekmīga uzbrukuma, SOC komanda pēc nepieciešamības ir atbildīga par apdraudējumu noņemšanu un sistēmu un dublējumu atjaunošanu.
-
SOC ir veidots no cilvēkiem, rīkiem un procesiem, kas palīdz aizsargāt organizāciju pret kiberuzbrukumiem. Lai sasniegtu savus mērķus, tas veic šādas funkcijas: visu līdzekļu un tehnoloģiju uzskaite, regulāra uzturēšana un sagatavošana, nepārtraukta uzraudzība, draudu noteikšana, draudu informācija, žurnālu pārvaldība, atbilde uz incidentu, atkopšana un koriģēšana, pamatcēloņu izmeklēšana, drošības uzlabošana un atbilstības pārvaldība.
-
Spēcīgs SOC palīdz organizācijai efektīvāk pārvaldīt drošību, apvienojot aizsargus, draudu noteikšanas rīkus un drošības procesus. Organizācijas ar SOC var uzlabot drošības procesus, ātrāk reaģēt uz apdraudējumiem un labāk pārvaldīt atbilstību nekā uzņēmumi, kuriem nav SOC.
-
SOC ir personas, procesi un rīki, kas atbild par organizācijas aizsardzību pret kiberuzbrukumiem. SIEM ir viens no daudziem rīkiem, ko SOC izmanto, lai uzturētu redzamību un reaģētu uz uzbrukumiem. SIEM apkopo žurnālfailus un izmanto analīzi un automatizāciju, lai ticamus apdraudējumus atklātu SOC dalībniekiem, kuri izlemj, kā reaģēt.
Sekot korporācijai Microsoft