安全操作中心(SOC)

谁需要SOC ?

无论企业的规模和目的如何，拥有一个组织级的专业团队都是非常有价值的，他们负责随时监控安全运行和事故，并应对任何可能发生的问题。。网络安全团队的责任有时非常复杂。。帮助团队成员完成日常任务的SOC不仅可以作为战术控制台，还可以作为战略中心，帮助团队了解更大、更长期的安全趋势。。

一个典型的安全操作中心跟踪任何组织可能遇到的安全警告以及员工、合作伙伴和外部来源，例如通过技术和工具通知潜在威胁。。SOC随后对报告的威胁进行调查和验证，以确保它不是过度检测(如果报告的威胁是无害的)。。如果安全事故被认为是有效的并且需要响应，SOC将把事故移交给合适的人员或团队进行响应和恢复。

作为整个事件检测和响应程序的一部分，安全操作中心需要高度结合专业知识、流程和效率。。这就是为什么有些组织无法为SOC提供资源，用干扰来支撑。。很多组织选择让外部机构管理或完全外包SOC。。

土台を築く作業

对于组织来说，要想让SOC成为一个实用的选择，就必须有很多的组件来支撑。。第一，我们需要一个好的攻击面管理程序。。这包括:在所有威胁入侵和逃脱的路径上，脆弱性スキャン(引入相关补丁)ペンテスト用户认证和授权，资产管理，外部应用测试(和相关补丁)，远程访问管理。。

次に事故应对计划が必要です。通常，将SOC引入IDR计划的一个主要目的是提高组织环境中的威胁检测的有效性。。如果你没有在发现侵犯后制定事件应对流程，并进行定期验证，那么你只处理了有效IDR程序的一部分。。

最后，灾后重建计划也很重要。。侵害只是组织需要修复的灾难之一。。我们需要事先制定计划，在我们完成对受影响的资产、应用程序和用户的封锁之后，恢复正常的业务运营流程。。这就是灾后重建。。

利用開始にあたって

基于安全运营中心固有的复杂性，建立运营中心需要考虑很多因素。。无论是内部安装还是外包安装，一个成功的SOC必须准备以下三个要素。。

• 人:了解SOC分析师的角色和责任是选择运行SOC的技术的重要要求。。设置团队和赋予团队的任务取决于组织的现有结构。。例如，在构建SOC以增强现有威胁检测和响应功能的情况下，必须考虑哪些特定任务由SOC团队成员负责，哪些任务由SOC以外的IDR团队负责。有必要。。此外，高精度警告的处理，低精度警告的验证，警告的升级，未知威胁的追踪等等，都是由谁来完成的，这需要在SOC分析师之间分担责任。。为了建立明确的责任和序列，许多安全操作中心都在分层的员工框架中运行。。
• テクノロジー:当你决定在SOC中使用什么技术时，你在确立角色和责任上所花费的时间所产生的效果就会显现出来。。通常情况下，我们会使用哪些技术用户行为分析我们需要结合工具来进行终端调查和实时搜索。。确保SOC分析师是如何使用技术的，确定现有技术对SOC工艺是有用的，还是妨碍SOC工艺的，以及是否需要用新的技术来取代现有技术。重要的是要切断。。另外，确保分析师的沟通工具也很重要。。
• プロセス：如我所述，建立人和技术共同遵循的流程是我们在启动SOC时需要考虑的最后一个部件。。当我们需要验证、报告、升级或交付给其他团队时，我们该怎么办?？我们如何收集和分析这些指标呢?？这样的过程要有足够的精度，能够按照重要性顺序处理调查线索，同时还要具备足够的灵活性，不会让分析过程被特定。。过程决定了SOC的有效性，你有必要花费精力来合理设置。。

当你与外包的SOC提供商合作时，这也适用。。SOC成为一个受信任的组织合作伙伴。。因此，积极和定期地进行沟通、透明、反馈和协作，确保SOC能够成功并发挥最大的作用是必不可少的。。