安全运营中心(SOC)

SOC是做什么的?

SOC执行许多与安全相关的任务, 包括持续监控安全操作和事件，并对可能出现的问题作出反应. 网络安全团队中的各种职责可能极其复杂, SOC不仅可以作为战术控制台，让团队成员能够执行日常任务, 但也作为一个战略中心，让团队意识到更大, 长期安全趋势.

典型的SOC跟踪组织可能遇到的任意数量的安全警报, 包括通过技术和工具通知潜在威胁, 还有员工, 合作伙伴, 还有外部资源.

然后，SOC通常会调查并验证报告的威胁，以确保它不是假阳性(例如.e. 一个实际上无害的威胁报道). 如果安全事件被认为是有效的并且需要响应, SOC将其移交给适当的人员或团队进行响应和恢复.

这需要复杂的专业知识组合, 过程, 和组织有效地运行SOC作为整体的一部分 威胁检测和响应程序. 这就是为什么每个组织可能都无法在内部支持或提供SOC资源的原因. 相反，许多人选择由外部机构管理他们的SOC，称为 安全运营中心即服务(SOCaaS).

SOC有哪些组件? 

SOC中的组件数量很多，必须在SOC成为可行的选择之前进行结构化和就位. 让我们来看看其中几个: 

• 攻击面管理程序:这包括针对所有威胁入口和出口途径的威胁防护技术 漏洞扫描 (以及相关的补丁)， 渗透测试, 用户身份验证和授权, 资产管理, 外部应用程序测试(带有相关的补丁), 远程访问管理. 
• 事件应变计划:通常, 将SOC引入IDR计划的主要目标之一是提高组织环境中检测威胁的有效性. 如果 事件响应流程 在发现漏洞后，这些措施没有到位，也没有定期进行测试, 你只是在处理一个有效的IDR计划的一些组成部分. 
• 灾难恢复计划:漏洞只是组织需要从灾难中恢复的一个特定示例. 一旦检测到的违规行为已经完全确定，受影响的资产, 应用程序, 用户也得到了控制, 需要制定一个计划来恢复正常的业务操作流程. 这需要时间，而且说起来容易做起来难, 但是，有必要让基本系统尽可能快地恢复正常运行——恢复到接近正常的状态也会有助于组织士气.

SOC设置需要什么? 

SOC设置需要三个主要元素. 无论SOC是在内部创建还是外包给托管提供商, 准备好这些核心功能对成功至关重要.

人

了解SOC分析师的角色和职责是选择运行SOC的技术的重要前提. 您创建的团队和您给他们的任务将依赖于您的组织的现有结构. 例如, 如果您正在构建SOC以增强现有的威胁检测和响应能力, 您需要考虑SOC团队成员负责哪些具体任务，哪些任务属于非SOC IDR团队.

您还需要在SOC分析师之间划分职责，并可能考虑SOC自动化，以便清楚地了解谁处理高保真警报, 谁验证低保真警报, 谁升级警报, 谁去寻找突发威胁, 等. 许多soc在分层人员配置框架内运行，以建立明确的职责和层次结构.

技术

决定SOC使用什么技术是在上面提到的建立角色和职责的时间将得到回报的地方. 他们会使用什么技术? 他们可能需要组合日志聚合工具， 用户行为分析、端点查询、实时搜索等等. 重要的是要看看SOC分析师是如何使用你的技术的，并确定现有技术是帮助还是阻碍了流程，以及是否需要新技术来取代它. 拥有适当的通信工具来支持分析师之间的协作也很重要. 其他重要考虑因素:

• 您的操作环境(云、内部部署或混合) 
• 您面临的威胁类型(恶意软件、网络钓鱼等).)
• 您需要遵守的法规遵从性要求(HIPAA、SOC2、ISO 27001等).) 

流程

建立上述人员和技术将遵循的流程是开始使用SOC时需要考虑的最后一个组件. 如果需要验证安全事件会发生什么, 报道了, 升级, 或者交给另一个团队? 你将如何收集和分析指标?

这些过程必须作为一个足够精确的框架，以确保调查线索按照重要程度进行处理, 但是足够松散，不能支配分析过程. 流程可以建立或破坏SOC的有效性, 因此，应该从一开始就建立事件管理工作流，以确保流程中的每个步骤都是更大战略的一部分.

以上几点在使用an时仍然适用 托管SOC提供商. SOC将是一个值得信赖的组织伙伴, 因此，他们在沟通中积极主动、有规律是很重要的, 透明度, 反馈, 并与您合作，以确保您的SOC尽可能成功和有效.

阅读更多关于SOC战略

• 了解更多关于Rapid7的信息 托管SOC服务
• 介绍SOC可视性三元组
• SOC系列:如何构建安全运营中心
• SOC的未来在于XDR
• SOC:来自博客的最新消息