Funções do Cloud SOCCloud SOC functions

O objetivo principal de um SOC (Cloud Security Operations Center) é detectar, responder e recuperar-se de ataques ativos em ativos corporativos.The main objective of a cloud security operations center (SOC) is to detect, respond to, and recover from active attacks on enterprise assets.

À medida que o SOC amadurece, as operações de segurança devem:As the SOC matures, security operations should:

  • Responder reativamente a ataques detectados por ferramentasReactively respond to attacks detected by tools
  • Busca proativa de ataques que passaram por detecções reativas passadasProactively hunt for attacks that slipped past reactive detections

ModernizaçãoModernization

A detecção e a resposta a ameaças está passando por uma modernização significativa no momento em todos os níveis.Detecting and responding to threats is currently undergoing significant modernization at all levels.

  • Elevação ao gerenciamento de riscos de negócios: O SOC está crescendo em um componente fundamental do gerenciamento de riscos de negócios para a organizaçãoElevation to business risk management: SOC is growing into a key component of managing business risk for the organization
  • Métricas e metas: O acompanhamento da eficácia do SOC está evoluindo de "tempo para detectar" a estes indicadores-chave:Metrics and goals: Tracking SOC effectiveness is evolving from "time to detect" to these key indicators:
    • Capacidade de resposta por meio do tempo médio para reconhecer (MTTA).Responsiveness via mean time to acknowledge (MTTA).
    • Velocidade de correção por meio do tempo médio para corrigir (MTTR).Remediation speed via mean time to remediate (MTTR).
  • Evolução da tecnologia: A tecnologia SOC está evoluindo do uso exclusivo da análise estática de logs em um SIEM para adicionar o uso de ferramentas especializadas e técnicas de análise sofisticadas.Technology evolution: SOC technology is evolving from exclusive use of static analysis of logs in a SIEM to add the use of specialized tooling and sophisticated analysis techniques. Isso fornece informações aprofundadas sobre ativos que fornecem alertas de alta qualidade e experiência de investigação que complementam o modo de exibição de amplitude do SIEM.This provides deep insights into assets that provide high quality alerts and investigation experience that complement the breadth view of the SIEM. Os dois tipos de ferramentas estão cada vez mais usando ia e Machine Learning, análise de comportamento e inteligência de ameaça integrada para ajudar a identificar e Priorizar ações anormais que poderiam ser um invasor mal-intencionado.Both types of tooling are increasingly using AI and machine learning, behavior analytics, and integrated threat intelligence to help spot and prioritize anomalous actions that could be a malicious attacker.
  • Busca de ameaças: SOCs estão adicionando ameaças orientadas à hipótese, buscando proativamente a identificação de ataques avançados e a mudança de alertas com ruído das filas de analistas do frente.Threat hunting: SOCs are adding hypothesis driven threat hunting to proactively identify advanced attackers and shift noisy alerts out of frontline analyst queues.
  • Gerenciamento de incidentes: A disciplina está se tornando formalizada para coordenar elementos não técnicos de incidentes com jurídico, comunicações e outras equipes.Incident management: Discipline is becoming formalized to coordinate nontechnical elements of incidents with legal, communications, and other teams. Integração do contexto interno: Para ajudar a priorizar as atividades do SOC, como as pontuações de risco relativas de contas de usuário e dispositivos, a confidencialidade de dados e aplicativos e os principais limites de isolamento de segurança para defender-se de rigorosamente.Integration of internal context: To help prioritize SOC activities such as the relative risk scores of user accounts and devices, sensitivity of data and applications, and key security isolation boundaries to closely defend.

Para obter mais informações, consulte:For more information, see:

Composição de equipe e relações de chaveTeam composition and key relationships

O Cloud Security Operations Center normalmente é composto pelos seguintes tipos de funções.The cloud security operations center is commonly made up of the following types of roles.

  • Operações de ti (fechar contato regular)IT operations (close regular contact)
  • Inteligência contra ameaçasThreat intelligence
  • Arquitetura de segurançaSecurity architecture
  • Programa Insider RiskInsider risk program
  • Recursos legais e humanosLegal and human resources
  • Equipes de comunicaçãoCommunications teams
  • Organização de risco (se presente)Risk organization (if present)
  • Associações, comunidades e fornecedores específicos do setor (antes do incidente ocorrer)Industry specific associations, communities, and vendors (before incident occurs)

Próximas etapasNext steps

Examine a função da arquitetura de segurança.Review the function of security architecture.