클라우드 SOC 함수Cloud SOC functions

클라우드 보안 운영 센터 (SOC)의 주요 목표는 엔터프라이즈 자산의 활성 공격을 감지, 대응 및 복구 하는 것입니다.The main objective of a cloud security operations center (SOC) is to detect, respond to, and recover from active attacks on enterprise assets.

SOC가 완성 됨에 따라 보안 작업은 다음을 수행 해야 합니다.As the SOC matures, security operations should:

  • 도구에서 검색 한 공격에 대응적 응답Reactively respond to attacks detected by tools
  • 사후 검색 이전에 누락 된 공격에 대해 사전에 사냥Proactively hunt for attacks that slipped past reactive detections

현대화Modernization

현재 위협 검색 및 대응은 모든 수준에서 상당한 현대화 됩니다.Detecting and responding to threats is currently undergoing significant modernization at all levels.

  • 비즈니스 위험 관리에 대 한 권한 상승: SOC는 조직의 비즈니스 위험을 관리 하는 주요 구성 요소로 성장 하 고 있습니다.Elevation to business risk management: SOC is growing into a key component of managing business risk for the organization
  • 메트릭 및 목표: SOC 효율성을 추적 하는 것은 "검색 시간"에서 다음과 같은 주요 표시기로 발전 하 고 있습니다.Metrics and goals: Tracking SOC effectiveness is evolving from "time to detect" to these key indicators:
    • 평균 승인 시간 (MTTA)을 통한 응답성 .Responsiveness via mean time to acknowledge (MTTA).
    • MTTR (평균 재구성 시간)을 통한 재구성 속도 입니다.Remediation speed via mean time to remediate (MTTR).
  • 기술 발전: SOC 기술은 SIEM에서 로그의 정적 분석을 독점적으로 사용 하 여 특수화 된 도구 및 정교한 분석 기법을 추가 하는 데 사용 됩니다.Technology evolution: SOC technology is evolving from exclusive use of static analysis of logs in a SIEM to add the use of specialized tooling and sophisticated analysis techniques. 이를 통해 SIEM의 폭 보기를 보완 하는 고품질 경고 및 조사 환경을 제공 하는 자산에 대 한 심층 통찰력을 제공 합니다.This provides deep insights into assets that provide high quality alerts and investigation experience that complement the breadth view of the SIEM. 두 가지 유형의 도구 모두 AI와 기계 학습, 동작 분석 및 통합 위협 인텔리전스를 사용 하 여 악의적인 공격자가 될 수 있는 비정상 작업을 파악 하 고 우선 순위를 지정 합니다.Both types of tooling are increasingly using AI and machine learning, behavior analytics, and integrated threat intelligence to help spot and prioritize anomalous actions that could be a malicious attacker.
  • 위협 요소 구하기: Soc는 가설 기반 위협 요소를 추가 하 여 고급 공격자를 사전에 식별 하 고 잡음이 있는 경고를 frontline 분석가 큐로 이동 합니다.Threat hunting: SOCs are adding hypothesis driven threat hunting to proactively identify advanced attackers and shift noisy alerts out of frontline analyst queues.
  • 인시던트 관리: 법률, 커뮤니케이션 및 기타 팀과 관련 하 여 문제를 방지 하는 요소를 조정 하기 위해 분야는 공식화 됩니다.Incident management: Discipline is becoming formalized to coordinate nontechnical elements of incidents with legal, communications, and other teams. 내부 컨텍스트의 통합: 사용자 계정 및 장치에 대 한 상대적 위험 점수, 데이터와 응용 프로그램의 민감도 및 긴밀 하 게 보호 하는 주요 보안 격리 경계와 같은 SOC 활동의 우선 순위를 정할 수 있습니다.Integration of internal context: To help prioritize SOC activities such as the relative risk scores of user accounts and devices, sensitivity of data and applications, and key security isolation boundaries to closely defend.

자세한 내용은 다음을 참조하십시오.For more information, see:

팀 컴퍼지션 및 키 관계Team composition and key relationships

클라우드 보안 작업 센터는 일반적으로 다음과 같은 유형의 역할로 구성 됩니다.The cloud security operations center is commonly made up of the following types of roles.

  • IT 운영 (일반 연락처 닫기)IT operations (close regular contact)
  • 위협 인텔리전스Threat intelligence
  • 보안 아키텍처Security architecture
  • 참가자 위험 프로그램Insider risk program
  • 법률 및 인적 자원Legal and human resources
  • 통신 팀Communications teams
  • 위험 조직 (있는 경우)Risk organization (if present)
  • 업계 특정 연결, 커뮤니티 및 공급 업체 (인시던트 발생 전)Industry specific associations, communities, and vendors (before incident occurs)

다음 단계Next steps

보안 아키텍처의 기능을 검토 합니다.Review the function of security architecture.