クラウド SOC 関数Cloud SOC functions

クラウド セキュリティ オペレーション センター (SOC) の主な目的は、エンタープライズ資産に対するアクティブな攻撃を検出、対応、復旧することです。The main objective of a cloud security operations center (SOC) is to detect, respond to, and recover from active attacks on enterprise assets.

SOC が成熟するにつれて、セキュリティ運用は次のようになります。As the SOC matures, security operations should:

  • ツールによって検出された攻撃にリアクティブに対応しますReactively respond to attacks detected by tools
  • 過去のリアクティブな検出から漏れた攻撃を事前に発見しますProactively hunt for attacks that slipped past reactive detections


脅威の検出と対応については、現在、あらゆるレベルで重要な近代化が行われています。Detecting and responding to threats is currently undergoing significant modernization at all levels.

  • ビジネス リスク管理への昇格: SOC は、組織のビジネ スリスク管理の重要なコンポーネントになっています。Elevation to business risk management: SOC is growing into a key component of managing business risk for the organization
  • メトリックと目標: SOC の有効性の追跡は、"検出までの時間" から次の主要な指標に進化しています。Metrics and goals: Tracking SOC effectiveness is evolving from "time to detect" to these key indicators:
    • 平均応答時間 (MTTA) による_応答性_。Responsiveness via mean time to acknowledge (MTTA).
    • 平均修復時間 (MTTR) による_修復速度_。Remediation speed via mean time to remediate (MTTR).
  • テクノロジの進化: SOC テクノロジは、SIEM 内のログの静的分析だけの使用から、特殊なツールや高度な分析手法の使用の追加へと、発展しています。Technology evolution: SOC technology is evolving from exclusive use of static analysis of logs in a SIEM to add the use of specialized tooling and sophisticated analysis techniques. これにより、SIEM の広範なビューを補完する高品質のアラートと調査エクスペリエンスを提供する、資産に関する深い分析情報が得られます。This provides deep insights into assets that provide high quality alerts and investigation experience that complement the breadth view of the SIEM. どちらの種類のツールでも、悪意のある攻撃者である可能性がある異常なアクションの特定と優先順位付けのために、AI と機械学習、動作分析、統合脅威インテリジェンスがますます使用されるようになっています。Both types of tooling are increasingly using AI and machine learning, behavior analytics, and integrated threat intelligence to help spot and prioritize anomalous actions that could be a malicious attacker.
  • 脅威ハンティング: SOC では、高度な攻撃者を事前に特定し、最前線のアナリストのキューから雑音の多いアラートを除くために、仮説主導の脅威ハンティングが追加されています。Threat hunting: SOCs are adding hypothesis driven threat hunting to proactively identify advanced attackers and shift noisy alerts out of frontline analyst queues.
  • インシデント管理: 法律、コミュニケーション、およびその他のチームでインシデントの非技術的要素を調整するため、規範が形式化されています。Incident management: Discipline is becoming formalized to coordinate nontechnical elements of incidents with legal, communications, and other teams. 内部コンテキストの統合: ユーザー アカウントとデバイスの相対的なリスク スコア、データとアプリケーションの機密性、およびしっかり防御するための主要なセキュリティ分離境界などの SOC アクティビティの優先順位付けのため。Integration of internal context: To help prioritize SOC activities such as the relative risk scores of user accounts and devices, sensitivity of data and applications, and key security isolation boundaries to closely defend.

詳細については、次を参照してください。For more information, see:

チームの構成と重要な関係Team composition and key relationships

クラウド セキュリティ オペレーション センターは、通常、次の種類の役割で構成されています。The cloud security operations center is commonly made up of the following types of roles.

  • IT 運用 (常に緊密に連絡)IT operations (close regular contact)
  • 脅威インテリジェンスThreat intelligence
  • セキュリティのアーキテクチャSecurity architecture
  • インサイダー リスク プログラムInsider risk program
  • 法務と人事Legal and human resources
  • コミュニケーション チームCommunications teams
  • リスク組織 (存在する場合)Risk organization (if present)
  • 業界固有の関連、コミュニティ、およびベンダー (インシデント発生前)Industry specific associations, communities, and vendors (before incident occurs)

次のステップNext steps

セキュリティ アーキテクチャの機能を確認します。Review the function of security architecture.