Funzioni SOC cloudCloud SOC functions

L'obiettivo principale di Cloud Security Operations Center (SOC) è quello di rilevare, rispondere e ripristinare da attacchi attivi sulle risorse aziendali.The main objective of a cloud security operations center (SOC) is to detect, respond to, and recover from active attacks on enterprise assets.

Con la maturità del SOC, le operazioni di sicurezza devono:As the SOC matures, security operations should:

  • Rispondere in modo riattivo agli attacchi rilevati dagli strumentiReactively respond to attacks detected by tools
  • Cercare in modo proattivo gli attacchi che hanno superato i rilevamenti riattivati precedentiProactively hunt for attacks that slipped past reactive detections

ModernizzazioneModernization

Il rilevamento e la risposta alle minacce sono attualmente in fase di modernizzazione significativa a tutti i livelli.Detecting and responding to threats is currently undergoing significant modernization at all levels.

  • Elevazione alla gestione dei rischi aziendali: SOC sta crescendo in un componente chiave della gestione dei rischi aziendali per l'organizzazioneElevation to business risk management: SOC is growing into a key component of managing business risk for the organization
  • Metriche e obiettivi: Tenere traccia dell'efficacia del SOC sta evolvendo da "tempo di rilevamento" a questi indicatori chiave:Metrics and goals: Tracking SOC effectiveness is evolving from "time to detect" to these key indicators:
    • Velocità di risposta tramite tempo medio di riconoscimento (mtta).Responsiveness via mean time to acknowledge (MTTA).
    • Velocità di correzione tramite il tempo medio per il monitoraggio e l'aggiornamento (MTTR).Remediation speed via mean time to remediate (MTTR).
  • Evoluzione della tecnologia: La tecnologia SOC si sta evolvendo dall'uso esclusivo dell'analisi statica dei log in un SIEM per aggiungere l'uso di strumenti specializzati e tecniche di analisi sofisticate.Technology evolution: SOC technology is evolving from exclusive use of static analysis of logs in a SIEM to add the use of specialized tooling and sophisticated analysis techniques. In questo modo vengono fornite informazioni approfondite sulle risorse che forniscono avvisi di alta qualità e un'esperienza di analisi che integrano la visualizzazione estesa di SIEM.This provides deep insights into assets that provide high quality alerts and investigation experience that complement the breadth view of the SIEM. Entrambi i tipi di strumenti sono sempre più utilizzati per intelligenza artificiale e Machine Learning, analisi del comportamento e Intelligence per le minacce integrata per individuare e classificare in ordine di priorità le azioni anomale che potrebbero essere un utente malintenzionato.Both types of tooling are increasingly using AI and machine learning, behavior analytics, and integrated threat intelligence to help spot and prioritize anomalous actions that could be a malicious attacker.
  • Caccia a minacce: SOC aggiungono un'ipotesi basata sulla ricerca di minacce per identificare in modo proattivo gli utenti malintenzionati avanzati e spostare gli avvisi rumorosi dalle code degli analisti di Frontline.Threat hunting: SOCs are adding hypothesis driven threat hunting to proactively identify advanced attackers and shift noisy alerts out of frontline analyst queues.
  • Gestione degli eventi imprevisti: La disciplina viene formalizzata per coordinare gli elementi non tecnici degli eventi imprevisti con i team legali, di comunicazione e di altro.Incident management: Discipline is becoming formalized to coordinate nontechnical elements of incidents with legal, communications, and other teams. Integrazione del contesto interno: Per definire la priorità delle attività SOC, ad esempio i punteggi di rischio relativi di account utente e dispositivi, la riservatezza dei dati e delle applicazioni e i limiti di isolamento della sicurezza principali da difendere in modo accurato.Integration of internal context: To help prioritize SOC activities such as the relative risk scores of user accounts and devices, sensitivity of data and applications, and key security isolation boundaries to closely defend.

Per altre informazioni, vedere:For more information, see:

Composizione del team e relazioni tra chiaviTeam composition and key relationships

Il centro operativo per la sicurezza del cloud è in genere costituito dai tipi di ruoli seguenti.The cloud security operations center is commonly made up of the following types of roles.

  • Operazioni IT (chiusura contatto normale)IT operations (close regular contact)
  • Intelligence per le minacceThreat intelligence
  • Architettura di sicurezzaSecurity architecture
  • Programma di rischio InsiderInsider risk program
  • Risorse legali e umaneLegal and human resources
  • Team di comunicazioneCommunications teams
  • Organizzazione di rischio (se presente)Risk organization (if present)
  • Associazioni, community e fornitori specifici del settore (prima del verificarsi dell'evento imprevisto)Industry specific associations, communities, and vendors (before incident occurs)

Passaggi successiviNext steps

Esaminare la funzione di architettura di sicurezza.Review the function of security architecture.