Kas yra saugos operacijų centras (SOC)?
Sužinokite, kaip saugos operacijų centrai greitai aptinka, teikia prioritetą ir nustato galimas kibernetines atakas.
Kas yra saugos operacijų centras?
SOC yra centralizuota funkcija arba komanda, atsakinga už organizacijos Kibernetinės saugos informacijakibernetinės saugos būsenos gerinimą ir grėsmių prevenciją, aptikimą bei reagavimą į jas. SOC komanda, kuri gali būti vietoje arba siunčiama, stebi tapatybes, galinius punktus, serverius, duomenų bazes, tinklo programas, svetaines ir kitas sistemas, kad realiuoju laiku atskleistų galimas kibernetines atakas . Ji taip pat aktyviai dirba su sauga, naudodama naujausią grėsmių analizę, kad galėtų nuolat naujinti grėsmių grupes ir infrastruktūrą bei nustatyti ir išspręsti sistemos arba proceso pažeidžiamumus prieš užpuolikams jas išnaudojant. Dauguma SOC veikia visą parą septynias dienas per savaitę, o didelės organizacijos, kurios apima kelias šalis, taip pat gali priklausyti nuo visuotinio saugos operacijų centro (GSOC), kad neatsiliktų nuo saugos grėsmių visame pasaulyje ir koordinuotų aptikimą bei atsaką tarp kelių vietinių SOC.
SOC funkcijos
SOC komandos nariai atlieka šias funkcijas, kad padėtų išvengti atakų, į jas reaguoti ir atsigauti po jų.
Turto ir įrankių atsargos
Norint pašalinti aklųjų dėmių ir spragų aprėptį, SOC reikia matyti išteklius, kuriuos jis saugo, ir įžvalgas apie įrankius, kuriuos jis naudoja organizacijai apsaugoti. Tai reiškia visų duomenų bazių, debesies tarnybų, tapatybių, programų ir pabaigos taškų apskaitą vietiniame bei keliuose debesyse. Komanda taip pat stebi visus organizacijoje naudojamus saugos sprendimus, pvz., užkardas, apsaugas nuo kenkėjiškų programų, išpirkos reikalaujančias programas bei stebėjimo programas.
Sumažinkite atakos pažeidžiamą sritį
Pagrindinė SOC atsakomybė – sumažinti atakuojamą organizacijos dalį. SOC tai daro tvarkydamas visų darbo krūvių ir išteklių inventorių, taikydamas programinės įrangos ir ugniasienių saugumo pataisas, nustatydamas neteisingas konfigūracijas ir pridėdamas naujus išteklius, kai jie pradedami naudoti. Komandos nariai taip pat yra atsakingi už atsirandančių grėsmių tyrimą ir poveikio analizę, kuri padeda jiems užbėgti naujoms grėsmėms už akių.
Nuolatinis stebėjimas
Naudodami saugos analizės sprendimus, pvz saugos informacijos įmonės valdymo (SIEM) sprendimą, saugos valdymo, automatizavimo ir reagavimo (SOAR) sprendimą arba išplėstinio aptikimo ir reagavimo (XDR) sprendimą, SOC komandos stebi visą aplinką – vietoje, debesis, programas, tinklus, ir įrenginius – kasdien, kad pastebėtumėte neįprastus atvejus arba įtartiną elgesį. Šie įrankiai renka telemetriją, agreguoja duomenis ir kai kuriais atvejais automatizuoja reagavimą į incidentus.
Grėsmių analizė
SOC taip pat naudoja duomenų analizę, išorines informacijos santraukas ir produktų grėsmių ataskaitas, kad gautų įžvalgų apie įsilaužimo elgseną, infrastruktūrą ir motyvus. Ši analizė pateikia didelį vaizdą apie tai, kas vyksta internete, ir padeda komandoms suprasti, kaip veikia grupės. Naudodamas šią informaciją, SOC gali greitai atskleisti grėsmes ir sustiprinti organizaciją nuo kylančios rizikos.
Grėsmių aptikimas
SOC komandos naudoja SIEM ir XDR sprendimų sugeneruotus duomenis grėsmėms nustatyti. Tai pradedama išfiltruojant klaidingai teigiamus rezultatus iš realių problemų. Tada jos teikia prioritetą grėsmėms pagal svarbą ir galimą poveikį verslui.
Žurnalų valdymas
SOC taip pat atsakinga už žurnalų duomenų, sukurtų kiekvieno galinio punkto, operacinės sistemos, virtualiosios mašinos, vietinės programos ir tinklo įvykio, rinkimą, tvarkymą ir analizę. Analizė padeda nustatyti normalaus veikimo pagrindinę liniją ir parodo anomalijas, kurios gali rodyti kenkėjiškas programas, išpirkos reikalaujančias programasarba virusus.
Reagavimas į incidentus
Identifikavus kibernetinę ataką, SOC greitai imasi veiksmų, kad apribotų organizacijos žalą kuo mažiau trikdydami verslą. Veiksmai gali apimti paveiktų Galinių punktų informacijapabaigos taškų ir programų išjungimą arba izoliavimą, pažeistų paskyrų sustabdymą, užkrėstų failų pašalinimą ir antivirusinės bei apsaugos nuo kenkėjiškos programinės įrangos paleidimą.
Atkūrimas ir ištaisymas
Po atakos SOC yra atsakingas už įmonės pradinės būsenos atkūrimą. Komanda išvalys ir vėl prijungs diskus, tapatybes, el. paštus ir galinius punktus, iš naujo paleis programas, perkels į atsarginių kopijų sistemas ir atkurs duomenis.
Pagrindinės priežasties tyrimas
Siekiant išvengti panašios atakos pasikartojimo, SOC atlieka išsamų tyrimą, kad nustatytų pažeidžiamumus, netinkamus saugumo procesus ir kitas žinias, kurios prisidėjo prie incidento.
Saugos tobulinimas
SOC naudoja bet kokią informaciją, surinktą incidento metu, kad išspręstų pažeidžiamumus, pagerintų procesus ir strategijas bei atnaujintų saugos veiksmų planą.
Atitikties valdymas
Svarbi SOC atsakomybės dalis yra užtikrinti, kad programos, saugos įrankiai ir procesai atitiktų privatumo taisykles, pvz., visuotinį duomenų apsaugos reglamentą (BDAR), Kalifornijos vartotojų privatumo aktą (CCPA) ir Sveikatos draudimo mobilumo ir atskaitomybės aktą (HIPPA). „Teams“ reguliariai tikrina sistemas, kad užtikrintų atitiktį ir įsitikintų, jog reguliuotojai, teisėsaugos institucijos ir klientai būtų informuojami po duomenų pažeidimo.
Pagrindiniai SOC vaidmenys
Atsižvelgiant į organizacijos dydį, įprastame SOC yra šie vaidmenys:
Reagavimo į incidentus direktorius
Šis vaidmuo, kuris paprastai matomas tik labai didelėse organizacijose, yra atsakingas už aptikimo, analizės, sulaikymo ir atkūrimo veiksmus saugos incidento metu. Jie taip pat valdo bendravimą su atitinkamomis suinteresuotosiomis šalimis.
SOC vadovas
SOC prižiūri vadovas, kuris paprastai teikia ataskaitas vyriausiesiems informacijos saugos pareigūnams (CISO). Pareigos apima darbuotojų priežiūrą, vykdomą veiklą, naujų darbuotojų mokymą ir finansų valdymą.
Saugos inžinieriai
Saugos inžinieriai saugo organizacijos saugos sistemas. Tai apima saugumo architektūros kūrimą, saugumo sprendimų paiešką, įgyvendinimą ir priežiūrą.
Saugos analizė
Pirmi asmenys sureagavę į saugos incidentą, saugos analitikai, identifikuoja grėsmes, nustato jų prioritetus ir imasi veiksmų, kad suvaldytų žalą. Kibernetinės atakos metu jiems gali tekti izoliuoti užkrėstą pagrindinį kompiuterį, galinį punktą arba vartotoją. Kai kuriose organizacijose saugumo analitikai skirstomi pagal grėsmių, už kurių šalinimą jie yra atsakingi, rimtumą.
Grėsmių paieška
Kai kuriose organizacijose labiausiai patyrę saugos analitikai vadinami grėsmių medžiotojais. Šie žmonės identifikuoja ir reaguoja į pažengusias grėsmes, kurių nesudoros automatizuoti įrankiai. Tai yra aktyvus vaidmuo, skirtas išplėsti organizacijos žinomų grėsmių suvokimą ir atrasti nežinomas grėsmes dar prieš atakai įvykstant.
Techniniai analitikai
Didesnės organizacijos taip pat gali samdyti techninius analitikus, kurie renka informaciją po pažeidimo, kad nustatytų pagrindines priežastis. Jie ieško sistemos spragų, saugos strategijų pažeidimų ir kibernetinių atakų modelių, kurie gali būti naudingi siekiant išvengti panašių pažeidimų ateityje.
SOC tipai
Yra keli skirtingi būdai, kaip organizacijos nustato savo SOC. Kai kurie pasirenka sukurti tam skirtą SOC su pilnu etatu dirbančiais darbuotojais. Šio tipo SOC gali būti vidinis su fizine vietine vieta arba gali būti virtualus su darbuotojais, kurie koordinuoja nuotoliniu būdu naudodami skaitmeninius įrankius. Daugelis virtualių SOC naudoja sutarties ir visą darbo dieną dirbančių darbuotojų derinį. Užsakomąjį SOC, kuris taip pat gali būti vadinamas valdomu SOC arba saugumo operacijų centru kaip paslauga, valdo valdomų saugos paslaugų teikėjas, kuris prisiima atsakomybę už grėsmių prevenciją, aptikimą, tyrimą ir reagavimą į jas. Taip pat galima naudoti vidinio personalo ir valdomo saugos paslaugų teikėjo derinį. Ši versija vadinama bendro valdymo arba hibridiniu SOC. Organizacijos šiuo metodu naudojasi norėdamos papildyti savo personalą. Pavyzdžiui, jei jie neturi grėsmių tyrėjų, gali būti paprasčiau pasamdyti trečiąją šalį, o ne bandyti juos įdarbinti įmonės viduje.
SOC komandų svarba
Stiprus SOC padeda įmonėms, vyriausybėms ir kitoms organizacijoms užbėgti kibernetinėms grėsmėms už akių. Tai nėra lengva užduotis. Tiek užpuolikai, tiek gynybos bendruomenė dažnai kuria naujas technologijas ir strategijas, todėl reikia laiko ir dėmesio visiems pakeitimams valdyti. SOC, naudodamasi savo žiniomis apie platesnę kibernetinę aplinką, taip pat vidinių problemų ir verslo prioritetų suvokimą, padeda organizacijai sukurti saugos veiksmų planą, atitinkantį ilgalaikius verslo poreikius. SOC taip pat gali apriboti poveikį verslui, kai įvyksta ataka. Jie nuolat stebi tinklą ir analizuoja įspėjimų duomenis, todėl tikėtina, kad jie gali susidurti su grėsmėmis anksčiau nei komanda išsibarsčiusi tarp kelių kitų prioritetų. Taikant reguliarius mokymus ir gerai dokumentuotus procesus, SOC gali greitai išspręsti dabartinį incidentą – net esant itin dideliam stresui. Tai gali būti sunku komandoms, kurios kasdien nesikoncentruoja į saugos operacijas.
SOC pranašumai
Suvienodindama žmones, įrankius ir procesus, naudojamus organizacijai apsaugoti nuo grėsmių, SOC padeda organizacijai produktyviau ir efektyviau apsisaugoti nuo atakų bei pažeidimų.
Stipri saugos būsena
Organizacijos saugos gerinimas yra niekada nesibaigiantis darbas. Norint atskleisti pažeidžiamumus ir neatsilikti nuo besikeičiančių technologijų, reikia nuolat stebėti, analizuoti ir planuoti. Kai žmonės turi prieštaringų prioritetų, lengva šį darbą apleisti užduočių, kurios atrodo skubesnės, sąskaita.
Centralizuotas SOC padeda užtikrinti nuolatinį procesų ir technologijų tobulinimą, taip sumažinant sėkmingos atakos riziką.
Privatumo taisyklių atitiktis
Pramonės šakos, valstijos, šalys ir regionai turi įvairių taisyklių, reguliuojančių duomenų rinkimą, saugojimą ir naudojimą. Daugelis reikalauja, kad organizacijos naudotojo prašymu praneštų apie duomenų pažeidimus ir panaikintų asmeninius duomenis. Tinkamų procesų ir procedūrų turėjimas yra taip pat svarbu, kaip ir tinkamų technologijų turėjimas. SOC nariai padeda organizacijoms laikytis reikalavimų, nes jie yra atsakingi už technologijų ir duomenų procesų atnaujinimą.
Greitas reagavimas į incidentus
Labai svarbu, kaip greitai aptinkama ir sustabdoma kibernetinė ataka. Naudojant tinkamus įrankius, žmones ir įžvalgas, daugelis pažeidimų sustabdomi prieš jiems padarant žalą. Tačiau programišiai taip pat žino, kaip sumaniai išlikti priedangoje, pavogti didžiulius kiekius duomenų bei padidinti savo teisių kiekį prieš kam nors pastebint. Saugos incidentas taip pat yra labai stresą keliantis įvykis, ypač žmonėms, kurie neturi patirties reagavime į incidentus.
Naudodamos vieningą grėsmių analizę ir gerai dokumentuotas procedūras, SOC komandos gali greitai aptikti, reaguoti ir atsigauti po atakų.
Sumažintos pažeidimų išlaidos
Sėkmingas pažeidimas organizacijoms gali būti labai brangus. Atkūrimas dažnai susijęs su didelėmis prastovomis, o daugelis įmonių netrukus po incidento praranda klientus arba tampa sunku įgyti naujų klientų. Užbėgdami užpuolikams už akių ir greitai reaguodami SOC padeda organizacijoms sutaupyti laiko ir pinigų, grįžtant prie įprasto veiklos organizavimo.
Geriausios praktikos SOC komandoms
Turint tiek daug atsakomybės, SOC turi būti efektyviai organizuotas ir valdomas, kad būtų pasiekta rezultatų. Organizacijos, turinčios stiprų SOC, taiko šias geriausias praktikas:
Su verslu suderinta strategija
Net geriausiai finansuojami SOC turi priimti sprendimus dėl to, kur sutelkti savo laiką ir pinigus. Organizacijos paprastai pradeda nuo rizikos įvertinimo, kad nustatytų didžiausias rizikos sritis ir didžiausias verslo galimybes. Tai padeda nustatyti, ką reikia apsaugoti. SOC taip pat turi suprasti aplinką, kurioje yra ištekliai. Daugelis įmonių turi sudėtingas aplinkas, kur kai kurie duomenys ir programos yra vietinės, o kai kurios laikomi skirtinguose debesyse. Strategija padeda nustatyti, ar saugos specialistai turi būti pasiekiami kasdien visomis valandomis, bei ar geriau turėti SOC vietoje, ar naudoti profesionalią paslaugą.
Talentingi, gerai apmokyti darbuotojai
Raktas į efektyvų SOC – tai gerus įgūdžius turinys ir nuolatos tobulėjantys darbuotojai. Tai prasideda nuo geriausių talentų paieškos, tačiau tai gali būti sudėtinga, nes apsaugos darbuotojų rinka yra labai konkurencinga. Kad išvengtų įgūdžių spragų, daugelis organizacijų bando rasti įvairių žinių turinčius žmones, pvz., apie sistemas ir žvalgybos stebėjimą, įspėjimų valdymą, incidentų aptikimą ir analizę, grėsmių paiešką, etiškus įsilaužimus, kibernetinę žvalgybą ir atvirkštinę inžineriją. Jos taip pat diegia technologiją, automatizuojančią užduotis, kad mažesnės komandos būtų efektyvesnės ir sustiprintų jaunesniųjų analitikų rezultatus. Investicijos į reguliarius mokymus padeda organizacijoms išlaikyti pagrindinį personalą, užpildyti įgūdžių spragas ir pagerinti žmonių karjeras.
Visapusis matomumas
Kadangi ataka gali prasidėti viename galiniame punkte, labai svarbu, jog SOC turėtų matomumą visoje organizacijos aplinkoje, įskaitant viską, ką valdo trečiosios šalys.
Tinkami įrankiai
Saugumo įvykių yra tiek daug, kad komandos gali lengvai būti užverstos per dideliu jų kiekiu. Efektyvūs SOC investuos į gerus saugos įrankius, kurie puikiai veikia kartu bei naudoja DI ir automatizavimą, kad sumažintų didelę riziką. Norint išvengti aprėpties tarpų, labai svarbu užtikrinti veikimo suderinamumą.
SOC įrankiai ir technologijos
Saugos informacija ir įvykių valdymas (SIEM)
Vienas iš svarbiausių SOC įrankių yra debesų technologijos pagrindu veikiantis SIEM sprendimas, sujungiantis duomenis iš kelių saugos sprendimų ir žurnalo failų. Naudojant grėsmių analizę ir DI, šie įrankiai padeda SOC aptikti besiplečiančias grėsmes, pagreitinti reagavimą į incidentus ir užbėgti įsilaužėliams už akių.
„Azure Sentinel“ saugos sustygavimo, automatizavimo ir reagavimo (SOAR) funkcijos
SOAR automatizuoja pasikartojančias ir numatomas papildymo, reagavimo ir taisymo užduotis, atlaisvindama laiko ir išteklių išsamesnei tyrimui ir grėsmių paieškai.
Išplėstinis aptikimas ir reagavimas (XDR)
XDR yra programinė įranga kaip paslaugų įrankis, siūlantis visapusišką, optimizuotą saugą integruojant saugos produktus ir duomenis į supaprastintus sprendimus. Organizacijos naudoja šiuos sprendimus, kad aktyviai ir efektyviai spręstų besikeičiančius grėsmių ir sudėtingus saugos iššūkius kelių debesų hibridinėje aplinkoje. Priešingai nei tokios sistemos kaip atakų prieš galinius punktus aptikimas ir reagavimas (EDR), XDR išplečia saugos aprėptį, integruodama apsaugą įvairesniuose produktuose, įskaitant organizacijos galinius punktus, serverius, debesies programas, el. paštą ir kt. Iš čia XDR sujungia prevenciją, aptikimą, tyrimą ir reagavimą, suteikdama matomumą, analizę, susijusius įspėjimus apie incidentus ir automatinį reagavimą, kad pagerintų duomenų saugą ir kovotų su grėsmėmis.
Užkarda
Užkarda stebi srautą į tinklą ir iš jo, leisdama arba blokuodama srautą pagal SOC apibrėžtas saugos taisykles.
Žurnalų valdymas
Dažnai įtraukiamas kaip SIEM dalis, žurnalų valdymo sprendimas registruoja visus įspėjimus, gaunamus iš kiekvienos organizacijos programinės įrangos, aparatūros ir galinio punkto. Šiuose žurnaluose pateikiama informacija apie tinklo veiklą.
Šie įrankiai nuskaito tinklą, kad padėtų nustatyti silpnąsias vietas, kuriomis galėtų pasinaudoti įsilaužėlis.
Vartotojų ir objektų elgesio analizė
Integruota į daugelį šiuolaikinių saugos įrankių, vartotojo ir objekto veikimo analizė naudoja DI, kad išanalizuotų duomenis, surinktus iš įvairių įrenginių, kad nustatytų kiekvieno vartotojo ir objekto įprastos veiklos bazinį planą. Kai įvykis nukrypsta nuo bazinės linijos, jis pažymimas vėliavėle tolesnei analizei.
SOC ir SIEM
Be SIEM SOC būtų itin sunku pasiekti savo misiją. Modernūs SIEM pasiūlymai:
- Žurnalo agregavimas: SIEM renka žurnalo duomenis ir susieja įspėjimus, kuriuos analitikai naudoja grėsmių aptikimui ir grėsmių paieškai.
- Kontekstas: SIEM renka duomenis iš visų organizacijos technologijų, todėl padeda sujungti taškus tarp atskirų incidentų, kad būtų galima identifikuoti sudėtingas atakas.
- Mažiau įspėjimų: Naudodama analizę ir DI, kad susietų įspėjimus ir identifikuotų rimčiausius įvykius, SIEM sumažina incidentų, kuriuos žmonės turi peržiūrėti ir analizuoti, skaičių.
- Automatizuotas reagavimas: Įtaisytosios taisyklės leidžia SIEM nustatyti galimas grėsmes ir blokuoti jas be žmonių sąveikos.
Taip pat svarbu atkreipti dėmesį, kad vien SIEM nepakanka organizacijai apsaugoti. Žmonės yra reikalingi, kad integruotų SIEM su kitomis sistemomis, apibrėžtų taisyklėmis pagrįsto aptikimo parametrus ir įvertintų įspėjimus. Štai kodėl labai svarbu apibrėžti SOC strategiją ir samdyti tinkamus darbuotojus.
SOC sprendimai
Yra daugybė sprendimų, padėsiančių SOC apsaugoti organizaciją. Geriausieji veikia kartu, kad užtikrintų visišką aprėptį vietoje ir keliuose debesyse. „Microsoft“ sauga teikia išsamius sprendimus, padedančius SOC pašalinti aprėpties spragas ir 360 laipsnių savo aplinkos vaizdą. „Microsoft Sentinel“ yra debesų technologijos pagrindu veikianti SIEM, kuri integruojama su „Microsoft“ sargybos išplėstinio aptikimo ir reagavimo sprendimais, suteikiančiais analitikams ir grėsmių medžiotojams duomenis, kurių reikia norint rasti ir sustabdyti kibernetines atakas.
Sužinokite daugiau apie „Microsoft“ saugą
„Microsoft“ SIEM ir XDR
Gaukite integruotą apsaugą nuo grėsmių įvairiuose įrenginiuose, tapatybėse, programose, el. laiškuose, duomenyse ir debesų darbo krūviuose.
„Microsoft Defender XDR“
Sustabdykite išpuolius naudodami kelių domenų apsaugą nuo grėsmių, kurią teikia „Microsoft XDR“.
„Microsoft Sentinel“
Atskleiskite sudėtingas grėsmes ir ryžtingai reaguokite naudodami paprastą ir efektyvų SIEM sprendimą, sukurtą debesies ir DI pagrindu.
„Microsoft Defender“ grėsmių žvalgyba
Padėkite identifikuoti ir šalinti užpuolikus ir jų įrankius naudodami neprilygstamą besiplečiančio grėsmių kraštovaizdžio rodinį.
„Microsoft Defender“ išorinių atakų pažeidžiamų sričių valdymas
Gaukite nepertraukiamą matomumą už užkardos ribų, kad galėtumėte lengviau rasti nevaldomus išteklius ir atrasti silpnąsias vietas kelių debesų aplinkoje.
Dažnai užduodami klausimai
-
Tinklo operacijų centras (NOC) sutelkia dėmesį į tinklo našumą ir greitį. Jis ne tik reaguoja į triktis, bet ir aktyviai stebi tinklą, kad nustatytų problemas, kurios gali sulėtinti srautą. SOC taip pat stebi tinklą ir kitas aplinkas, bet jis ieško kibernetinės atakos įrodymų. Saugos incidentas gali sutrikdyti tinklo našumą, todėl NOC ir SOC turi koordinuoti veiklą. Kai kurios organizacijos laiko SOC savajame NOC, kad paskatintų bendradarbiavimą.
-
SOC komandos stebi serverius, įrenginius, duomenų bazes, tinklo programas, svetaines ir kitas sistemas, kad realiuoju laiku aptiktų galimas grėsmes. Jos taip pat atlieka aktyvų saugos darbą, gaudamos vėliausią informaciją apie naujausias grėsmes ir identifikuodamos bei spręsdamos sistemos arba procesų pažeidžiamumus prieš įsilaužėliui jais pasinaudojant. Jei organizacija patiria sėkmingą ataką, SOC komanda yra atsakinga už grėsmės pašalinimą ir, jei reikia, sistemų bei atsarginių kopijų atkūrimą.
-
SOC sudaro žmonės, įrankiai ir procesai, padedantys apsaugoti organizaciją nuo kibernetinių atakų. Kad pasiektų savo tikslus, jis atlieka šias funkcijas: visų išteklių ir technologijų inventorizaciją, periodinę priežiūrą ir pasirengimą, nuolatinį stebėjimą, grėsmių aptikimą, grėsmių analizę, žurnalų valdymą, reagavimą į incidentus, atkūrimą ir taisymą, pagrindinės priežasties tyrimus, saugos tikslinimą ir atitikties valdymą.
-
Stiprus SOC padeda organizacijai efektyviau valdyti saugą suvienydamas sargybas, grėsmių aptikimo įrankius ir saugos procesus. Organizacijos, turinčios SOC, gali tobulinti savo saugos procesus, greičiau reaguoti į grėsmes ir geriau valdyti atitiktį nei įmonės, neturinčios SOC.
-
SOC yra žmonės, procesai ir įrankiai, atsakingi už organizacijos gynimą nuo kibernetinių atakos. SIEM yra vienas iš daugelio įrankių, kuriuos SOC naudoja, kad išlaikytų matomumą ir reaguotų į atakas. SIEM agreguoja žurnalo failus ir naudoja analizę bei automatizavimą, kad galėtų aptikti grėsmes SOC nariams, kurie nusprendžia, kaip reaguoti.
Stebėkite „Microsoft“