Cloudové SOC funkceCloud SOC functions

Hlavním cílem služby Cloud Security Center (SOC) je detekovat, reagovat na a obnovit z aktivních útoků v podnikových prostředcích.The main objective of a cloud security operations center (SOC) is to detect, respond to, and recover from active attacks on enterprise assets.

Vzhledem k vyspělému SOC by měly operace zabezpečení:As the SOC matures, security operations should:

  • Reaktivní reakce na útoky zjištěné nástrojiReactively respond to attacks detected by tools
  • Proaktivní odhalování útoků, které byly v minulosti po reaktivním zjišťováníProactively hunt for attacks that slipped past reactive detections

ModernizaceModernization

Rozpoznání hrozeb a reakce na ně je v současné době významné pro moderní modernizaci na všech úrovních.Detecting and responding to threats is currently undergoing significant modernization at all levels.

  • Zvýšení oprávnění ke správě obchodních rizik: SOC se zvětšuje na klíčovou součást správy podnikového rizika pro organizaci.Elevation to business risk management: SOC is growing into a key component of managing business risk for the organization
  • Metriky a cíle: Sledování efektivity SOC se vyvíjí od "času pro detekci" u těchto klíčových ukazatelů:Metrics and goals: Tracking SOC effectiveness is evolving from "time to detect" to these key indicators:
    • Reakce prostřednictvím střední doby k potvrzení (MTTA).Responsiveness via mean time to acknowledge (MTTA).
    • Rychlost nápravy přes průměrnou dobu, kterou je potřeba opravit (MTTR).Remediation speed via mean time to remediate (MTTR).
  • Vývoj technologií: Technologie SOC se vyvíjí z výhradního použití statické analýzy protokolů v SIEM, aby bylo možné přidat použití specializovaných nástrojů a sofistikovaných analytických technik.Technology evolution: SOC technology is evolving from exclusive use of static analysis of logs in a SIEM to add the use of specialized tooling and sophisticated analysis techniques. Díky tomu získáte podrobné přehledy o prostředcích, které poskytují vysoce kvalitní výstrahy a možnosti šetření, které doplňují pohled na SIEM.This provides deep insights into assets that provide high quality alerts and investigation experience that complement the breadth view of the SIEM. Oba typy nástrojů stále využívají AI a strojové učení, analýzu chování a integrované funkce hrozeb, které vám pomůžou určit, aby se neobvyklé akce, které by mohly být škodlivým útočníkem.Both types of tooling are increasingly using AI and machine learning, behavior analytics, and integrated threat intelligence to help spot and prioritize anomalous actions that could be a malicious attacker.
  • Lovecké hrozby: SOC přidávají lov hrozeb řízených riziky k proaktivní identifikaci pokročilých útočníků a posouvat výstrahy proti hlučnosti mimo prvotní analytiků.Threat hunting: SOCs are adding hypothesis driven threat hunting to proactively identify advanced attackers and shift noisy alerts out of frontline analyst queues.
  • Správa incidentů: Disciplína se dostává formálním účelem koordinace netechnických prvků incidentů s právními, komunikačními a jinými týmy.Incident management: Discipline is becoming formalized to coordinate nontechnical elements of incidents with legal, communications, and other teams. Integrace interního kontextu: Aby bylo možné upřednostnit SOC aktivity, jako je relativní riziko pro uživatelské účty a zařízení, citlivost dat a aplikací a bezpečnostní hranice izolace zabezpečení, které je potřeba pečlivě chránit.Integration of internal context: To help prioritize SOC activities such as the relative risk scores of user accounts and devices, sensitivity of data and applications, and key security isolation boundaries to closely defend.

Další informace naleznete v tématu:For more information, see:

Kompozice týmu a klíčové vztahyTeam composition and key relationships

Provozní centrum zabezpečení cloudu se obvykle skládá z následujících typů rolí.The cloud security operations center is commonly made up of the following types of roles.

  • IT operace (Zavřít běžný kontakt)IT operations (close regular contact)
  • Analýza hrozebThreat intelligence
  • Architektura zabezpečeníSecurity architecture
  • Program pro rizika programu InsiderInsider risk program
  • Právní a lidské zdrojeLegal and human resources
  • Komunikační týmyCommunications teams
  • Organizace rizik (Pokud je k dispozici)Risk organization (if present)
  • Asociace, komunity a dodavatelé konkrétního odvětví (před incidentem)Industry specific associations, communities, and vendors (before incident occurs)

Další krokyNext steps

Zkontrolujte funkci architektury zabezpečení.Review the function of security architecture.