Funciones del centro de operaciones de seguridad en la nubeCloud SOC functions

El objetivo principal de un centro de operaciones de seguridad en la nube (SOC) es detectar, responder y recuperarse de ataques activos a los activos empresariales.The main objective of a cloud security operations center (SOC) is to detect, respond to, and recover from active attacks on enterprise assets.

A medida que el SOC madura, las operaciones de seguridad deben cumplir estos requisitos:As the SOC matures, security operations should:

  • Responder de forma reactiva a los ataques detectados por las herramientasReactively respond to attacks detected by tools
  • Buscar de forma proactiva ataques que han superado detecciones reactivas anterioresProactively hunt for attacks that slipped past reactive detections

ModernizaciónModernization

La detección y respuesta a las amenazas está actualmente en un importante proceso de modernización en todos los niveles.Detecting and responding to threats is currently undergoing significant modernization at all levels.

  • Elevación a la administración de riesgos empresariales: el SOC está creciendo y convirtiéndose en un componente clave de la administración de riesgo empresariales dentro de la organización.Elevation to business risk management: SOC is growing into a key component of managing business risk for the organization
  • Métricas y objetivos: el seguimiento de la eficacia del SOC está evolucionando a partir del tiempo de detección a estos indicadores clave.Metrics and goals: Tracking SOC effectiveness is evolving from "time to detect" to these key indicators:
    • Capacidad de respuesta a través del tiempo medio de confirmación (MTTA).Responsiveness via mean time to acknowledge (MTTA).
    • Velocidad de corrección a través del tiempo medio para corregir (MTTR).Remediation speed via mean time to remediate (MTTR).
  • Evolución tecnológica: la tecnología SOC está evolucionando a partir del uso exclusivo del análisis estático de registros en un SIEM para agregar el uso de herramientas especializadas y técnicas de análisis sofisticadas.Technology evolution: SOC technology is evolving from exclusive use of static analysis of logs in a SIEM to add the use of specialized tooling and sophisticated analysis techniques. Esto proporciona información detallada sobre los activos que proporcionan una experiencia de investigación y alertas de alta calidad que complementan la visión completa del SIEM.This provides deep insights into assets that provide high quality alerts and investigation experience that complement the breadth view of the SIEM. Ambos tipos de herramientas usan cada vez más la IA y el aprendizaje automático, el análisis de comportamientos y la inteligencia sobre amenazas integrada para ayudar a detectar y priorizar acciones anómalas que podrían ser un atacante malintencionado.Both types of tooling are increasingly using AI and machine learning, behavior analytics, and integrated threat intelligence to help spot and prioritize anomalous actions that could be a malicious attacker.
  • Búsqueda de amenazas: los SOC están agregando la búsqueda de amenazas controlada por hipótesis para identificar de forma proactiva a los atacantes avanzados y eliminar las alertas de las colas de los analistas que están en primera línea.Threat hunting: SOCs are adding hypothesis driven threat hunting to proactively identify advanced attackers and shift noisy alerts out of frontline analyst queues.
  • Administración de incidentes: la disciplina se está volviendo formalizada para coordinar los elementos no técnicos de incidentes con los departamentos legales, de comunicaciones y otros equipos.Incident management: Discipline is becoming formalized to coordinate nontechnical elements of incidents with legal, communications, and other teams. Integración del contexto interno: para ayudar a priorizar las actividades del SOC, como las puntuaciones de riesgo relativas de las cuentas de usuario y los dispositivos, la confidencialidad de los datos y las aplicaciones, y los límites de aislamiento de seguridad clave para defenderse eficazmente.Integration of internal context: To help prioritize SOC activities such as the relative risk scores of user accounts and devices, sensitivity of data and applications, and key security isolation boundaries to closely defend.

Para más información, consulte:For more information, see:

Composición del equipo y relaciones claveTeam composition and key relationships

El centro de operaciones de seguridad en la nube se compone normalmente de los siguientes tipos de roles.The cloud security operations center is commonly made up of the following types of roles.

  • Operaciones de TI (contacto cercano y periódico)IT operations (close regular contact)
  • Información sobre amenazasThreat intelligence
  • Arquitectura de seguridadSecurity architecture
  • Programa de riesgos de InsiderInsider risk program
  • Recursos legales y humanosLegal and human resources
  • Equipos de comunicacionesCommunications teams
  • Organización de riesgos (si existe)Risk organization (if present)
  • Asociaciones, comunidades y proveedores específicos del sector (antes de que se produzca el incidente)Industry specific associations, communities, and vendors (before incident occurs)

Pasos siguientesNext steps

Revise la función de la arquitectura de seguridad.Review the function of security architecture.