Mikä on tietoturvakeskus (SOC)?
Lue, miten tietoturvakeskustiimit havaitsevat, priorisoivat ja luokittelevat nopeasti mahdollisia kyberhyökkäyksiä.
Mikä on SOC?
SOC on keskitetty toiminto tai tiimi, jonka tehtävänä on parantaa organisaation kyberturvallisuutta sekä uhkien estämistä, havaitsemista ja niihin reagoimista. SOC-tiimi, joka voi olla paikan päällä tai ulkoistettu, valvoo käyttäjätietoja, päätepisteitä, palvelimia, tietokantoja, verkkosovelluksia, sivustoja ja muita järjestelmiä löytääkseen mahdollisia kyberhyökkäyksiä reaaliaikaisesti. Se tekee myös ennakoivaa suojaustyötä käyttämällä uusimpia uhkatietoja pysyäkseen ajan tasalla uhkaryhmistä ja infrastruktuurista sekä tunnistaakseen ja korjatakseen järjestelmä- tai prosessihaavoittuvuuksia, ennen kuin hyökkääjät hyödyntävät niitä. Useimmat SOC:t toimivat kellon ympäri seitsemänä päivänä viikossa, ja useat maat kattavat suuret organisaatiot voivat myös olla riippuvaisia maailmanlaajuisesta tietoturvakeskuksesta (GSOC), jotta ne pysyvät ajan tasalla maailmanlaajuisista tietoturvauhkista ja koordinoivat havaitsemista ja reagointia useiden paikallisten SOC-organisaatioiden välillä.
SOC:n funktiot
SOC-työryhmän jäsenet ottavat käyttöön seuraavat toiminnot, jotka auttavat estämään, reagoimaan ja palautumaan hyökkäyksistä.
Resurssi- ja työkaluluettelo
SOC tarvitsee näkyvyyden suojaamaansa resursseihin ja tietoja työkaluista, joita se käyttää organisaation suojaamiseen, jotta sokeat kohdat ja aukot voidaan poistaa. Tämä tarkoittaa, että kaikki tietokannat, pilvipalvelut, käyttäjätiedot, sovellukset ja päätepisteet otetaan huomioon paikallisissa ja useissa pilvipalveluissa. Tiimi seuraa myös kaikkia organisaation käyttämiä tietoturvaratkaisuja, kuten palomuureja, haittaohjelmien torjuntaa, kiristysohjelmien torjuntaa ja ohjelmistojen valvontaa.
Hyökkäyspinnan pienentäminen
SOC:n keskeinen vastuu on vähentää organisaation hyökkäyspintaa. SOC tekee tämän ylläpitämällä kaikkien kuormitusten ja resurssien varastoa, käyttämällä suojauskorjauksia ohjelmistoihin ja palomuureihin, tunnistamalla virheelliset määritykset ja lisäämällä uusia resursseja, kun ne tulevat online-tilaan. Tiimin jäsenet ovat myös vastuussa uusien uhkien tutkimisesta ja altistumisen analysoimisesta, mikä auttaa heitä pysymään edellä uusimpia uhkia.
Jatkuva valvonta
SOC-työryhmät valvovat koko ympäristöä paikallisesti, pilvipalveluissa, sovelluksissa, verkoissa ja verkoissa käyttämällä suojausanalyysiratkaisuja, kuten suojaustietojen yrityshallinnan (SIEM) ratkaisua, suojauksen orkestrointi-, automaatio- ja vastausratkaisua (SOAR) tai Laajennetun havaitsemisen ja reagoinnin (XDR) tiedotlaajennettua tunnistamista ja reagointia (XDR) ratkaisua. ja laitteita—koko päivän, joka päivä, epätavallisuuksien tai epäilyttävän toiminnan paljastamiseksi. Nämä työkalut keräävät telemetriatietoja, koostavat tiedot ja joissakin tapauksissa automatisoivat tapauksiin reagoimisen.
Uhkatietämys
SOC käyttää myös data-analytiikkaa, ulkoisia syötteitä ja tuoteuhkien raportteja saadakseen tietoa hyökkääjän toiminnasta, infrastruktuurista ja uhkista. Nämä tiedot tarjoavat kokonaiskuvan siitä, mitä Internetissä tapahtuu, ja auttaa tiimejä ymmärtämään, miten ryhmät toimivat. Näiden tietojen avulla SOC voi nopeasti paljastaa uhkia ja vahvistaa organisaatiota uusilta riskeiltä.
Uhkien tunnistaminen
SOC-tiimit käyttävät SIEM- ja XDR-ratkaisujen luomia tietoja uhkien tunnistamiseen. Tämä alkaa suodattamalla pois virheelliset esiintymät todellisista ongelmista. Sen jälkeen ne priorisoivat uhat vakavuuden ja mahdollisen vaikutuksen mukaan liiketoimintaan.
Lokien hallinta
SOC vastaa myös jokaisen päätepisteen, käyttöjärjestelmän, virtuaalikoneen, paikallisen sovelluksen ja verkkotapahtuman tuottamien lokitietojen keräämisestä, ylläpidosta ja analysoimisesta. Analyysi auttaa määrittämään perustan normaalille toiminnalle ja paljastaa poikkeamia, jotka saattavat ilmaista ,Tietoja haittaohjelmistahaittaohjelmia, kiristyshaittaohjelmiatai viruksia.
Tapausten käsittely
Kun kyberhyökkäys on tunnistettu, SOC ryhtyy nopeasti toimiin rajoittaakseen organisaatiolle aiheutuvat vahingot mahdollisimman vähällä häiriöllä liiketoimintaan. Vaiheita voi olla sammuttaa tai eristää päätepisteet ja sovellukset, vaarantuneiden tilien keskeyttäminen, tartunnan saaneiden tiedostojen poistaminen sekä virusten ja haittaohjelmien torjuntaohjelmien suorittaminen.
Palautus ja korjaus
Hyökkäyksen jälkeen SOC on vastuussa yrityksen palauttamisesta alkuperäiseen tilaansa. Tiimi tyhjentää levyt, käyttäjätiedot, sähköpostin ja päätepisteet, käynnistää sovellukset uudelleen, siirtyy varmuuskopiojärjestelmiin ja palauttaa tietoja.
Pääsyytutkimus
Jotta samankaltainen hyökkäys ei toistu, SOC tekee perusteellisen tutkimuksen tunnistaakseen haavoittuvuudet, huonot suojausprosessit ja muut tapaukseen osallistuneet oppimiset.
Suojauksen hienosäätö
SOC käyttää tapauksen aikana kerättyjä tietoja haavoittuvuuksien korjaamiseen, prosessien ja käytäntöjen parantamiseen sekä tietoturvasuunnitelman päivittämiseen.
Vaatimustenmukaisuuden hallinta
SOC:n vastuulla on tärkeä osa sen varmistamista, että sovellukset, suojaustyökalut ja prosessit noudattavat tietosuojasäädöksiä, kuten yleistä tietosuoja-asetusta (GDPR), Kalifornian kuluttajien tietosuojalakia (CCPA) ja Health Insurance Portability and Accountability Actia (HIPPA). Tiimit valvovat säännöllisesti järjestelmiä yhteensopivuuden varmistamiseksi ja sen varmistamiseksi, että sääntelijöille, lainvalvojille ja asiakkaille ilmoitetaan tietomurron jälkeen.
SOC:n tärkeimmät roolit
Organisaation koosta riippuen tyypillinen SOC sisältää seuraavat roolit:
Esiintyvyysvastauksen johtaja
Tämä rooli, joka on yleensä vain erittäin suurissa organisaatioissa, on vastuussa tunnistamisen, analyysin, eristämisen ja palauttamisen koordinoinnista tietoturvatapauksen aikana. He hallitsevat myös viestintää asianmukaisten sidosryhmien kanssa.
SOC-esihenkilö
SOC:tä valvoo on esihenkilö, joka yleensä raportoi tietoturvapäällikölle (CISO). Tehtäviin kuuluu henkilöstön ohjaaminen, toiminnan johtaminen, uusien työntekijöiden kouluttaminen ja taloushallinto.
Tietoturva-asiantuntijat
Tietoturvainsinöörit pitävät organisaation suojausjärjestelmät toiminnassa. Tämä sisältää suojausarkkitehtuurin suunnittelun ja tutkimisen, tietoturvaratkaisujen käyttöönoton ja ylläpidon.
Tietoturva-analyytikot
Tietoturvahäiriöiden ensimmäiset vastaajat, suojausanalyytikot, tunnistavat uhat, priorisoivat ne ja ryhtyvät sitten toimiin vahinkojen hallitsemiseksi. Kyberhyökkäyksen aikana heidän on ehkä eristettävä isäntä, päätepiste tai käyttäjä, joka on saanut tartunnan. Joissakin organisaatioissa tietoturva-analyytikot on porrastettu niiden uhkien vakavuuden mukaan, joihin he ovat vastuussa.
Uhkien etsijät
Joissakin organisaatioissa kokeneimpia tietoturva-analyytikoita kutsutaan uhkien etsijöiksi. Nämä henkilöt tunnistavat kehittyneitä uhkia ja reagoivat niihin, joita automaattiset työkalut eivät havaitse. Tämä on ennakoiva rooli, jonka tarkoituksena on syventää organisaation ymmärrystä tunnetuista uhkista ja paljastaa tuntemattomia uhkia ennen hyökkäyksen alkamista.
Rikostekniset analyytikot
Suuret organisaatiot voivat myös palkata rikosteknisiä analyytikoita, jotka keräävät tietoja tietomurron jälkeen määrittääkseen sen perimmäisen syyn. He etsivät järjestelmän haavoittuvuuksia, suojauskäytäntöjen rikkomuksia ja kyberhyökkäysmalleja, joista voi olla hyötyä samankaltaisen vaarantumisen estämisessä tulevaisuudessa.
SOC-tyypit
Organisaatiot voivat määrittää SOC-organisaationsa muutamalla eri tavalla. Jotkut haluavat luoda erillisen SOC:n kokoaikaisen henkilöstön kanssa. Tämäntyyppinen SOC voi olla sisäinen ja sijaita fyysisesti toimitiloissa, tai se voi olla virtuaalinen, jolloin henkilöstö koordinoi toimintaa etänä digitaalisten työkalujen avulla. Monet virtuaaliset SOC:t käyttävät sopimus- ja kokoaikaisen henkilöstön yhdistelmää. Ulkoistetun SOC:n, jota voidaan kutsua myös hallituksi SOC-keskukseksi tai suojaustoimintokeskukseksi palveluna, suorittaa hallittu suojauspalveluntarjoaja, joka ottaa vastuun uhkien estämisestä, havaitsemisesta, tutkimisesta ja niihin vastaamisesta. On myös mahdollista käyttää sisäisen henkilöstön ja hallitun suojauspalvelun tarjoajan yhdistelmää. Tätä versiota kutsutaan yhteishallituksi SOC:ksi tai hybridi-SOC:ksi. Organisaatiot käyttävät tätä lähestymistapaa oman henkilöstönsä täydentämiseen. Jos yrityksellä ei esimerkiksi ole uhkatutkijoita, voi olla helpompaa palkata ulkopuolinen taho kuin yrittää palkata sisäistä henkilöstöä.
SOC-tiimien tärkeys
Vahva SOC auttaa yrityksiä, hallituksia ja muita organisaatioita pysymään edellä kehittyvää kyberuhkia. Tämä ei ole helppo tehtävä. Sekä hyökkääjät että puolustusyhteisö kehittävät usein uusia teknologioita ja strategioita, ja muutoksen hallinta vie aikaa ja keskittymistä. SOC:n avulla organisaatio voi kehittää tietoturvasuunnitelman, joka vastaa yrityksen pitkän aikavälin tarpeita, käyttämällä sen tietämystä laajemmasta kyberturvallisuusympäristöstä sekä tietämystään sisäisistä heikkouksista ja liiketoiminnan prioriteeteista. SOC:t voivat myös rajoittaa liiketoiminnan vaikutusta, kun hyökkäys tapahtuu. Koska he valvovat verkkoa jatkuvasti ja analysoivat hälytystietoja, ne havaitsevat todennäköisemmin uhkia aikaisemmin kuin tiimi, joka on jakautunut useiden muiden prioriteettien joukkoon. Säännöllisen koulutuksen ja hyvin dokumentoitujen prosessien avulla SOC voi puuttua käynnissä olevaan vaaratilanteeseen nopeasti - jopa äärimmäisessä stressitilanteessa. Tämä voi olla vaikeaa sellaisille tiimeille, jotka eivät keskity turvallisuustoimintoihin koko päivää, joka päivä.
SOC:n edut
Yhdistämällä ihmiset, työkalut ja prosessit, joita käytetään organisaation suojaamiseen uhkilta, SOC auttaa organisaatiota puolustautumaan hyökkäyksiltä ja tietoturvaloukkauksilta tehokkaammin ja vaikuttavammin.
Vahva turvallisuustilanne
Organisaation turvallisuuden parantaminen on työtä, joka ei ole koskaan ohi. Tietoturva-aukkojen paljastaminen ja muuttuvan teknologian seuraaminen, analysointi ja suunnittelu vaatii jatkuvaa seurantaa ja suunnittelua. Kun ihmisillä on keskenään kilpailevia prioriteetteja, tämä työ laiminlyödään helposti kiireellisemmiltä tuntuvien tehtävien sijasta.
Keskitetty SOC auttaa varmistamaan, että prosesseja ja teknologioita parannetaan jatkuvasti, mikä vähentää onnistuneen hyökkäyksen riskiä.
Tietosuojamääräysten noudattaminen
Toimialoilla, osavaltioissa, maissa ja alueilla on erilaisia säännöksiä, jotka koskevat tietojen keräämistä, tallentamista ja käyttöä. Monet vaativat organisaatioita ilmoittamaan tietoturvaloukkauksista ja poistamaan henkilötiedot kuluttajan pyynnöstä. Oikeat prosessit ja menettelyt ovat yhtä tärkeitä kuin oikea teknologia. SOC:n jäsenet auttavat organisaatioita noudattamaan sääntöjä ottamalla vastuun siitä, että teknologia ja tietoprosessit pysyvät ajan tasalla.
Nopea reagointi tapauksiin
Sillä, kuinka nopeasti verkkohyökkäys havaitaan ja sammutetaan, on suuri merkitys. Oikeiden työkalujen, ihmisten ja tiedon avulla monet tietoturvaloukkaukset voidaan pysäyttää ennen kuin ne aiheuttavat vahinkoa. Rikolliset toimijat ovat kuitenkin myös taitavia pysymään piilossa, varastamaan valtavia määriä tietoja ja laajentamaan käyttöoikeuksiaan ennen kuin kukaan huomaa sitä. Tietoturvahäiriö on myös erittäin stressaava tapahtuma - erityisesti ihmisille, joilla ei ole kokemusta välikohtausten torjunnasta.
SOC-tiimit pystyvät havaitsemaan, reagoimaan ja palautumaan hyökkäyksistä nopeasti käyttämällä yhdistettyä uhkatietoa ja hyvin dokumentoituja menetelmiä.
Rikkomusten pienentyneet kustannukset
Onnistunut murto voi olla erittäin kallista organisaatioille. Toipuminen johtaa usein huomattaviin käyttökatkoksiin, ja monet yritykset menettävät asiakkaita tai kamppailevat uusien asiakkaiden saamiseksi pian häiriön jälkeen. Pääsemällä hyökkääjien edelle ja reagoimalla nopeasti, SOC auttaa organisaatioita säästämään aikaa ja rahaa, kun ne palaavat normaaliin toimintaan.
Tutustu SOC-tiimien parhaisiin käytäntöihin
SOC on organisoitava ja hallittava tehokkaasti, jotta se voi saavuttaa tuloksia, koska sillä on niin paljon vastuita. Organisaatiot, joilla on vahvat SOC:t, noudattavat seuraavia parhaita käytäntöjä:
Liiketoimintaan perustuva strategia
Jopa parhaiten rahoitetun SOC:n on tehtävä päätöksiä siitä, mihin sen aika ja raha keskitetään. Organisaatiot aloittavat yleensä riskiarvioinnilla tunnistaakseen suurimmat riskialueet ja suurimmat mahdollisuudet yritykselle. Tämä auttaa tunnistamaan, mitä on suojattava. SOC:n on myös ymmärrettävä ympäristö, jossa resurssit sijaitsevat. Monissa yrityksissä on monimutkaisia ympäristöjä, joissa on joitakin tietoja ja sovelluksia paikallisesti ja osa useissa pilvipalveluissa. Strategia auttaa määrittämään, onko tietoturva-ammattilaisten oltava käytettävissä joka päivä kaikkina aikoina ja onko parempi pitää SOC:tä yrityksen sisällä vai käyttää ammattilaispalvelua.
Taitava, hyvin koulutettu henkilökunta
Tehokkaan SOC:n avain on erittäin ammattitaitoinen henkilöstö, joka kehittyy jatkuvasti. Aluksi on löydettävä parhaat osaajat, mutta se voi olla hankalaa, koska turvallisuushenkilöstön markkinoilla on kova kilpailu. Osaamisvajeen välttämiseksi monet organisaatiot pyrkivät löytämään henkilöitä, joilla on erilaista asiantuntemusta, kuten järjestelmien ja tiedustelutietojen seuranta, hälytysten hallinta, vaaratilanteiden havaitseminen ja analysointi, uhkien metsästys, eettinen hakkerointi, tietoverkkotekninen rikostekniikka ja käänteissuunnittelu. He myös ottavat käyttöön teknologiaa, joka automatisoi tehtäviä, jotta pienemmät tiimit voivat olla tehokkaampia ja tehostaa ala-analyytikkojen tulosta. Säännölliseen koulutukseen panostaminen auttaa organisaatioita pitämään avainhenkilöstönsä, täyttämään osaamisvajeen ja kehittämään työntekijöiden uraa.
Kattava näkyvyys
Koska hyökkäys voi alkaa yksittäisestä päätelaitteesta, on ratkaisevan tärkeää, että SOC:lla on näkyvyys koko organisaation ympäristöön, mukaan lukien kolmannen osapuolen hallinnoimat laitteet.
Oikeat työkalut
Turvatapahtumia on niin paljon, että tiimit voivat helposti hukkua niihin. Tehokkaat SOC:t investoivat hyviin tietoturvatyökaluihin, jotka toimivat hyvin yhteen ja käyttävät tekoälyä ja automaatiota merkittävien riskien nostamiseen. Yhteentoimivuus on keskeinen osa kattavuuden aukkojen välttämistä.
SOC-työkalut ja -tekniikat
Suojaustiedot ja tapahtumien hallinta (SIEM)
Yksi SOC:n tärkeimmistä työkaluista on pilvipohjainen SIEM-ratkaisu, joka koostaa tietoja useista suojausratkaisuista ja lokitiedostoista. Uhka-analyysin ja tekoälyn avulla nämä työkalut auttavat SOC-yksiköitä havaitsemaan kehittyviä uhkia, nopeuttamaan tapahtumiin reagoimista ja pysymään hyökkääjien edellä.
Suojauksen järjestäminen, automatisointi ja reagointi (SOAR)
SOAR automatisoi toistuvia ja ennakoitavissa olevia täydennys-, reagointi- ja korjaustehtäviä, jolloin aikaa ja resursseja vapautuu syvällisempään tutkimukseen ja metsästykseen.
Laajennettu havaitseminen ja reagointi (XDR)
XDR on ohjelmisto palveluna -työkalu, joka tarjoaa kokonaisvaltaista, optimoitua turvallisuutta integroimalla turvallisuustuotteet ja -tiedot yksinkertaisiksi ratkaisuiksi. Näiden ratkaisujen avulla organisaatiot voivat ennakoivasti ja tehokkaasti vastata kehittyvään uhkaympäristöön ja monimutkaisiin tietoturvahaasteisiin monipilviympäristössä, hybridiympäristössä. Esimerkiksi päätepisteiden tunnistuksesta ja käsittelystä (EDR) poiketen XDR laajentaa suojauksen vaikutusaluetta integroimalla suojaukseen laajaan tuotevalikoimaan, kuten organisaation päätepisteisiin, palvelimiin, pilvisovelluksiin ja sähköpostiviesteihin. Tämän jälkeen XDR yhdistää ennaltaehkäisyn, havaitsemisen, tutkimisen ja reagoimisen tarjotakseen näkyvyyttä, analytiikkaa, korreloituja häiriöilmoituksia ja automatisoituja vastauksia tietoturvan parantamiseksi ja uhkien torjumiseksi.
Palomuuri
Palomuuri valvoo liikennettä verkkoon ja verkosta, mikä sallii tai estää liikenteen SOC:n määrittämien suojaussääntöjen perusteella.
Lokien hallinta
Lokinhallintaratkaisu kirjaa usein osana SIEM:ää kaikki ilmoitukset kaikista organisaatiossa suoritettavista ohjelmistoista, laitteista ja päätepisteistä. Nämä lokit tarjoavat tietoja verkon toiminnasta.
Nämä työkalut tarkistavat verkon ja auttavat tunnistamaan heikkouksia, joita hyökkääjä voi hyödyntää.
Käyttäjä- ja entiteettitoiminta-analytiikka
Sisäänrakennettuna moniin nykyaikaisiin suojaustyökaluihin, käyttäjien ja entiteettien toiminnan analytiikka käyttää tekoälyä eri laitteista kerättyjen tietojen analysointiin normaalin toiminnan perustan määrittämiseksi jokaiselle käyttäjälle ja entiteetille. Kun tapahtuma poikkeaa perustasosta, se merkitään lisäanalyysiä varten.
SOC ja SIEM
Ilman SIEM:ää SOC:n olisi erittäin vaikea saavuttaa tehtäväänsä. Moderni SIEM tarjoaa:
- Lokin koostamisen: SIEM kerää lokitiedot ja korreloi hälytyksiä, joita analyytikot käyttävät uhkien havaitsemiseen ja etsintään.
- Kontekstin: Koska SIEM kerää tietoja organisaation kaikesta teknologiasta, se auttaa yhdistämään yksittäisten vaaratilanteiden väliset yhteydet ja tunnistamaan kehittyneet hyökkäykset.
- Vähemmän ilmoituksia: Käyttämällä analytiikkaa ja tekoälyä hälytysten korrelointiin ja vakavimpien tapahtumien tunnistamiseen SIEM vähentää niiden tapahtumien määrää, joita ihmisten on tarkasteltava ja analysoitava.
- Automaattisen vastauksen: Sisäänrakennettujen sääntöjen avulla SIEM-järjestelmät tunnistavat todennäköiset uhat ja estävät ne ilman ihmisten välistä vuorovaikutusta.
On myös tärkeää huomata, että SIEM ei yksinään riitä suojaamaan organisaatiota. Ihmisiä tarvitaan integroimaan SIEM muiden järjestelmien kanssa, määrittelemään sääntöpohjaisen havaitsemisen parametrit ja arvioimaan hälytyksiä. Siksi SOC-strategian määrittäminen ja oikean henkilöstön palkkaaminen on erittäin tärkeää.
SOC-ratkaisut
Saatavilla on laaja valikoima ratkaisuja, jotka auttavat SOC:tä suojaamaan organisaatiota. Parhaat toimivat yhdessä tarjotakseen kattavan kattavuuden paikallisissa ja useissa pilvipalveluissa. Microsoft Security tarjoaa kattavia ratkaisuja, joiden avulla SOC:t voivat poistaa kattavuuden aukot ja saada 360 asteen näkymän ympäristöstään. Microsoft Sentinel on pilvipohjainen SIEM, joka integroituu Microsoft Defenderin laajennettuihin tunnistus- ja vastausratkaisuihin antaakseen analyytikoille ja uhkienetsijöille tiedot, joita he tarvitsevat kyberhyökkäysten etsimiseen ja pysäyttämiseen.
Lue lisää Microsoft Securitysta
Microsoftin SIEM ja XDR
Hanki integroitu uhilta suojautuminen kaikissa laitteissa, tunnistetiedoissa, sovelluksissa, sähköposteissa, tiedoissa ja pilvityökuormissa.
Microsoft Defender XDR
Lopeta hyökkäykset Microsoft XDR:n tarjoamalla toimialueiden välisellä uhkien torjunalla.
Microsoft Sentinel
Paljasta kehittyneet uhat ja vastaa niihin päättäväisesti helpolla ja tehokkaalla SIEM-ratkaisulla, joka pohjautuu pilvipalveluun ja tekoälyyn.
Microsoft Defender Threat Intelligence
Auta tunnistamaan ja poistamaan hyökkääjät ja heidän työkalunsa verrattomalla näkymällä muuttuvaan uhkaympäristöön.
Microsoft Defenderin ulkoinen hyökkäyspintojen hallinta
Hanki jatkuva näkyvyys palomuurin ulkopuolelle, jotta voit löytää hallitsemattomia resursseja ja löytää heikkouksia monipilviympäristössäsi.
Usein kysytyt kysymykset
-
Verkkotoimintakeskus (NOC) keskittyy verkon suorituskykyyn ja nopeuteen. Se ei ainoastaan reagoi käyttökatkoksiin, vaan myös valvoo verkkoa ennakoivasti tunnistaakseen ongelmia, jotka voivat hidastaa liikennettä. SOC valvoo myös verkkoa ja muita ympäristöjä, mutta se etsii merkkejä kyberhyökkäyksestä. Koska tietoturvahäiriö voi häiritä verkon suorituskykyä, verkkotoimintakeskusten ja tietoturvakeskusten on koordinoitava toimintaansa. Joissakin organisaatioissa tietoturvakeskus sisältyy verkkotoimintakeskukseen yhteistyön edistämiseksi.
-
Tietoturvakeskuksen tiimit valvovat palvelimia, laitteita, tietokantoja, verkkosovelluksia, sivustoja ja muita järjestelmiä mahdollisten uhkien paljastamiseksi reaaliaikaisesti. He tekevät myös ennakoivaa suojaustyötä pysymällä ajan tasalla uusimmista uhkista ja tunnistamalla sekä korjaamalla järjestelmän tai prosessin haavoittuvuuksia, ennen kuin hyökkääjä käyttää niitä hyväkseen. Jos organisaatio kohtaa onnistuneen hyökkäyksen, tietoturvakeskuksen tiimi on vastuussa uhkien poistamisesta ja järjestelmien sekä varmuuskopioiden palauttamisesta tarpeen mukaan.
-
Tietoturvakeskus koostuu henkilöistä, työkaluista ja prosesseista, jotka auttavat suojaamaan organisaatiota kyberhyökkäyksiltä. Tavoitteiden saavuttamiseksi se suorittaa seuraavat toiminnot: kaikkien resurssien ja tekniikoiden inventointi, rutiininomainen ylläpito ja valmius, jatkuva seuranta, uhkien havaitseminen, uhkatietämys, lokien hallinta, tapauksiin reagointi, palautus ja korjaus, pääsyyn liittyvät tutkimukset, suojauksen hienosäätö ja vaatimustenmukaisuuden hallinta.
-
Vahva tietoturvakeskus auttaa organisaatiota hallitsemaan suojausta tehokkaammin yhdistämällä suojaukset, uhkien tunnistustyökalut ja suojausprosessit. Organisaatiot, joilla on tietoturvakeskus, voivat parantaa suojausprosessejaan, reagoida uhkiin nopeammin ja hallita vaatimustenmukaisuutta paremmin kuin yritykset, joilla ei ole tietoturvakeskusta.
-
SOC tarkoittaa ihmisiä, prosesseja ja työkaluja, jotka vastaavat organisaation puolustamisesta kyberhyökkäyksiä vastaan. SIEM on yksi monista työkaluista, joita SOC käyttää näkyvyyden ylläpitämisessä ja hyökkäyksiin reagoimisessa. SIEM kerää lokitiedostot ja tuo uskottavat uhat analytiikan ja automaation avulla näkyviin SOC:lle, joka sitten päättää reagointitavan.
Seuraa Microsoftia