Облачные функции SOCCloud SOC functions

Основной целью центра Cloud Security Operations Center (SOC) является обнаружение, реагирование и восстановление из активных атак на корпоративные ресурсы.The main objective of a cloud security operations center (SOC) is to detect, respond to, and recover from active attacks on enterprise assets.

По мере того, как SOC будет развить, операции безопасности должны:As the SOC matures, security operations should:

  • Реагирование на атаки, обнаруженные инструментамиReactively respond to attacks detected by tools
  • Упреждающий Поиск атак, в которых были обнаружены прошлые реактивные обнаруженияProactively hunt for attacks that slipped past reactive detections

МодернизацияModernization

Обнаружение угроз и реагирование на них в настоящее время очень модернизации на всех уровнях.Detecting and responding to threats is currently undergoing significant modernization at all levels.

  • Повышение уровня управления рисками для бизнеса: Компания SOC растет в ключевой компонент управления бизнес-риском для Организации.Elevation to business risk management: SOC is growing into a key component of managing business risk for the organization
  • Метрики и цели: Отслеживание эффективности SOC развивается с момента обнаружения следующих ключевых индикаторов:Metrics and goals: Tracking SOC effectiveness is evolving from "time to detect" to these key indicators:
    • Скорость реагирования через среднее время подтверждения (мтта).Responsiveness via mean time to acknowledge (MTTA).
    • Скорость исправления через среднее время восстановления (MTTR).Remediation speed via mean time to remediate (MTTR).
  • Развитие технологий: Технология SOC развивается от монопольного использования статического анализа журналов в SIEM для добавления использования специализированных средств и сложных методов анализа.Technology evolution: SOC technology is evolving from exclusive use of static analysis of logs in a SIEM to add the use of specialized tooling and sophisticated analysis techniques. Это позволяет получить подробные сведения о ресурсах, предоставляющих высококачественные оповещения и возможности исследования, дополняющие представление SIEM.This provides deep insights into assets that provide high quality alerts and investigation experience that complement the breadth view of the SIEM. Оба типа инструментов все чаще используют AI и машинное обучение, аналитику поведения и интегрированную аналитику угроз для выявления и определения приоритетов аномальных действий, которые могут быть злоумышленниками.Both types of tooling are increasingly using AI and machine learning, behavior analytics, and integrated threat intelligence to help spot and prioritize anomalous actions that could be a malicious attacker.
  • Поиск угроз: SOC — это добавление обнаружения угроз на основе гипотез, которое позволяет заранее определить опытных злоумышленников и сдвинуть помехи из очередей оказался аналитиков.Threat hunting: SOCs are adding hypothesis driven threat hunting to proactively identify advanced attackers and shift noisy alerts out of frontline analyst queues.
  • Управление инцидентами: Дисциплина становится формальной для координации нетехнических элементов инцидентов с юридическими, взаимосвязями и другими группами.Incident management: Discipline is becoming formalized to coordinate nontechnical elements of incidents with legal, communications, and other teams. Интеграция внутреннего контекста: Чтобы помочь в определении приоритетов для действий SOC, таких как относительные показатели рисков учетных записей и устройств, чувствительность данных и приложений, а также ключевые границы изоляции безопасности для тесной защиты.Integration of internal context: To help prioritize SOC activities such as the relative risk scores of user accounts and devices, sensitivity of data and applications, and key security isolation boundaries to closely defend.

Дополнительные сведения см. в разделе:For more information, see:

Компоновка команды и основные связиTeam composition and key relationships

Центр облачных операций безопасности обычно состоит из следующих типов ролей.The cloud security operations center is commonly made up of the following types of roles.

  • ИТ-операции (закрытие обычного контакта)IT operations (close regular contact)
  • Анализ угрозThreat intelligence
  • Архитектура безопасностиSecurity architecture
  • Программа для оценки рисковInsider risk program
  • Юридические ресурсы и персоналLegal and human resources
  • Группы взаимодействияCommunications teams
  • Организация рисков (при наличии)Risk organization (if present)
  • Отраслевые ассоциации, сообщества и поставщики (до возникновения инцидента)Industry specific associations, communities, and vendors (before incident occurs)

Дальнейшие действияNext steps

Изучите функцию архитектуры безопасности.Review the function of security architecture.