Funções SOC de nuvemCloud SOC functions

O principal objetivo de um centro de operações de segurança em nuvem (SOC) é detetar, responder e recuperar de ataques ativos a ativos da empresa.The main objective of a cloud security operations center (SOC) is to detect, respond to, and recover from active attacks on enterprise assets.

À medida que o SOC amadurece, as operações de segurança devem:As the SOC matures, security operations should:

  • Reagir reactivamente aos ataques detetados por ferramentasReactively respond to attacks detected by tools
  • Caça proativamente para ataques que escaparam a deteções reativas passadasProactively hunt for attacks that slipped past reactive detections

ModernizaçãoModernization

A deteção e resposta às ameaças está atualmente a sofrer uma modernização significativa a todos os níveis.Detecting and responding to threats is currently undergoing significant modernization at all levels.

  • Elevação à gestão de risco empresarial: A SOC está a tornar-se uma componente chave da gestão do risco de negócio para a organizaçãoElevation to business risk management: SOC is growing into a key component of managing business risk for the organization
  • Métricas e objetivos: O rastreio da eficácia do SOC está a evoluir de "tempo a deteção" para estes indicadores-chave:Metrics and goals: Tracking SOC effectiveness is evolving from "time to detect" to these key indicators:
    • Capacidade de resposta através do tempo médio para reconhecer (MTTA).Responsiveness via mean time to acknowledge (MTTA).
    • Velocidade de remediação através do tempo médio para remediar (MTTR).Remediation speed via mean time to remediate (MTTR).
  • Evolução tecnológica: A tecnologia SOC está a evoluir a partir do uso exclusivo da análise estática de troncos num SIEM para adicionar o uso de ferramentas especializadas e técnicas de análise sofisticadas.Technology evolution: SOC technology is evolving from exclusive use of static analysis of logs in a SIEM to add the use of specialized tooling and sophisticated analysis techniques. Isto fornece informações profundas sobre ativos que fornecem alertas de alta qualidade e experiência de investigação que complementam a visão de amplitude do SIEM.This provides deep insights into assets that provide high quality alerts and investigation experience that complement the breadth view of the SIEM. Ambos os tipos de ferramentas estão cada vez mais a usar IA e machine learning, análise de comportamento e inteligência de ameaça integrada para ajudar a detetar e priorizar ações anómalas que podem ser um atacante malicioso.Both types of tooling are increasingly using AI and machine learning, behavior analytics, and integrated threat intelligence to help spot and prioritize anomalous actions that could be a malicious attacker.
  • Caça à ameaça: Os SOCs estão a adicionar hipóteses de caça de ameaças para identificar proativamente os atacantes avançados e deslocar alertas ruidosos para fora das filas de analistas da linha da frente.Threat hunting: SOCs are adding hypothesis driven threat hunting to proactively identify advanced attackers and shift noisy alerts out of frontline analyst queues.
  • Gestão de incidentes: A disciplina está a formalizar-se para coordenar elementos não-ténicos de incidentes com equipas legais, comunicações e outras equipas.Incident management: Discipline is becoming formalized to coordinate nontechnical elements of incidents with legal, communications, and other teams. Integração do contexto interno: Ajudar a priorizar as atividades do SOC, tais como as pontuações de risco relativo das contas e dispositivos dos utilizadores, a sensibilidade dos dados e aplicações e os principais limites de isolamento de segurança para defender de perto.Integration of internal context: To help prioritize SOC activities such as the relative risk scores of user accounts and devices, sensitivity of data and applications, and key security isolation boundaries to closely defend.

Para obter mais informações, consulte:For more information, see:

Composição da equipa e relações-chaveTeam composition and key relationships

O centro de operações de segurança em nuvem é comumente composto pelos seguintes tipos de funções.The cloud security operations center is commonly made up of the following types of roles.

  • Operações de TI (contacto regular próximo)IT operations (close regular contact)
  • Informações sobre ameaçasThreat intelligence
  • Arquitetura de segurançaSecurity architecture
  • Programa de risco de insiderInsider risk program
  • Recursos legais e humanosLegal and human resources
  • Equipas de comunicaçõesCommunications teams
  • Organização de risco (se presente)Risk organization (if present)
  • Associações específicas do setor, comunidades e fornecedores (antes do incidente ocorrer)Industry specific associations, communities, and vendors (before incident occurs)

Próximos passosNext steps

Reveja a função de arquitetura de segurança.Review the function of security architecture.