SOC 的功能
SOC 团队承担以下职能来帮助防止、响应攻击并在遭到攻击后恢复。
资产和工具清单
为了消除覆盖范围中的盲点和缺口,SOC 需要了解它保护的资产,并深入了解它用于保护组织的工具。这意味着考虑到本地和多个云中的所有数据库、云服务、标识、应用程序和终结点。该团队还跟踪组织中使用的所有安全解决方案,例如防火墙、反恶意软件、反勒索软件和监视软件。
减少攻击面
SOC 的主要责任是减少组织的攻击面。为此,SOC 会维护包含所有工作负载和资产的清单、将安全修补程序应用于软件和防火墙、识别错误配置,并新资产联机时添加这些资产。团队成员还负责研究新出现的威胁并分析风险,这有助于他们领先于最新威胁。
持续监视
SOC 团队使用安全分析解决方案全天候监视整个环境 - 本地、云、应用程序、网络和设备,来发现异常或可疑行为;其中这些解决方案包括安全信息企业管理 (SIEM) 解决方案,安全编排、自动化和响应 (SOAR) 解决方案和扩展检测和响应 (XDR) 解决方案。这些工具会收集遥测数据、聚合数据,并在某些情况下自动进行事件响应。
威胁情报
SOC 还使用数据分析、外部源和产品威胁报告来深入了解攻击者行为、基础结构和动机。这种情报提供了有关 Internet 上正在发生的情况的全局视图,并帮助团队了解威胁组是如何运作的。借助此信息,SOC 可快速发现威胁,并加强组织对新出现的风险的应对。
威胁检测
SOC 团队使用 SIEM 和 XDR 解决方案生成的数据来识别威胁。这首先会从实际问题中筛选掉误报。然后,他们按严重性和对业务的潜在影响确定威胁的优先级。
日志管理
SOC 还负责收集、维护和分析每个终结点、操作系统、虚拟机、本地应用和网络事件生成的日志数据。分析有助于建立正常活动的基线,并揭示可能指示恶意软件信息恶意软件、勒索软件信息勒索软件或病毒的异常。
事件响应
识别到网络攻击后,SOC 会快速采取措施,在尽可能减少业务中断的情况下限制对组织的损害。措施可能包括关闭或隔离受影响的终结点信息终结点和应用程序、暂停被入侵的帐户、移除遭到感染的文件,以及运行防病毒和反恶意软件。
发现和修正
在攻击之后,SOC 负责将公司恢复到其原始状态。团队将擦除并重新连接磁盘、标识、电子邮件和终结点,重启应用程序,直接转换到备份系统,并恢复数据。
根本原因调查
为了防止类似的攻击再次发生,SOC 进行了彻底的调查,来确定漏洞、效果不佳的安全流程和其他导致事件的教训。
安全性优化
SOC 使用事件期间收集的任何情报来解决漏洞、改进流程和策略,并更新安全路线图。
合规性管理
SOC 职责的一个关键部分是确保应用程序、安全工具和流程符合隐私法规,例如全球数据保护条例 (GDPR)、《加利福尼亚州消费者隐私法案》(CCPA) 和《健康保险可移植性和责任法案》(HIPPA)。Teams 定期审核系统来确保合规性,并确保在数据泄露后通知监管机构、执法人员和客户。
SOC 中的关键角色
根据组织的规模,典型的 SOC 包括以下角色:
事件响应总监
此角色通常只出现在非常大型的组织中,负责协调安全事件期间的检测、分析、遏制和恢复。他们还管理与相应利益干系人的沟通。
SOC 管理者
SOC 监督员是管理者,通常向首席信息安全官 (CISO) 报告。职责包括监督人员、运行业务、培训新员工和管理财务。
安全工程师
安全工程师负责组织安全系统的启动和运行。这包括设计安全体系结构以及研究、实施和维护安全解决方案。
安全分析师
安全分析师是安全事件中的第一响应人,负责识别威胁、确定威胁的优先级,然后采取行动来遏制损害。在遭到网络攻击期间,他们可能需要隔离已遭到感染的主机、终结点或用户。在一些组织中,会根据安全分析师负责解决的威胁的安全程度来对这些分析师进行分级。
威胁搜寻者
在一些组织中,经验最丰富的安全分析师被称为威胁搜寻者。他们识别和响应自动工具未检测到的高级威胁。该角色主动行动,旨在加深组织对已知威胁的了解,并在攻击发生之前揭示未知的威胁。
取证分析师
大型组织可能还会聘用取证分析师,他们负责在出现违规后收集情报来确定其根本原因。他们会搜寻系统漏洞、违反安全策略的行为和网络攻击模式,这些有可能帮助防止将来发生类似的入侵。
SOC 的类型
组织有几种不同的方式来设置其 SOC。一些组织选择构建具有全职员工的专用 SOC。这种类型的 SOC 可以是内部的,具有物理的本地位置,也可以是虚拟的,员工使用数字工具远程协调工作。许多虚拟 SOC 既有合同工,也有全职员工。外包 SOC 也可称为“托管 SOC”或“安全运营中心即服务”,它由托管安全服务提供商运行,该提供商负责防止、检测、调查和响应威胁。此外,它可以既有内部员工,也有托管安全服务提供商。这种版本被称为托管或混合 SOC。组织使用这种方法来增加自身员工的影响力。例如,如果他们没有威胁调查员,那么聘用第三方可能与在内部配备这些人员更加容易。
SOC 团队的重要性
强大的 SOC 可帮助企业、政府和其他组织领先于不断变化的网络威胁环境。这不是一件容易的事。攻击者和防御社区都经常开发新的技术和战略,而管理所有的变化需要时间和精力。SOC 利用其对更广泛的网络安全环境的了解以及对内部薄弱点和业务优先级的理解,帮助组织制定符合业务长期需求的安全路线图。SOC 还可限制发生攻击时对业务的影响。他们会持续监视网络并分析警报数据,因此与分散在其他几个优先事项的团队相比,他们更有可能更早地发现威胁。通过定期培训和记录良好的流程,SOC 可以快速处理当前事件,即使在压力极大的情况下也能做到。对于没有全天候关注安全运营的团队来说,这可能很困难。
SOC 的优势
通过将用于保护组织免受威胁影响的人员、工具和流程进行统一,SOC 可帮助组织更有效、更高效地防御攻击和泄露。
强大的安全状况
提高组织的安全性是一项永无止境的工作。它需要持续监视、分析和规划,以发现漏洞并掌握不断变化的技术。当人们有事项的优先级不相上下时,很容易会忽视安全性,而关注感觉更紧迫的任务。
集中式 SOC 有助于确保持续改进流程和技术,从而减低成功攻击带来的风险。
遵守隐私法规
行业、州、国家和地区在治理数据收集、存储和使用方面的法规各有不同。许多法规要求组织在使用者请求时报告数据泄露并检测个人数据。制定适当的流程和程序与拥有适当的技术同样重要。SOC 的成员帮助组织承担保持技术和数据流程最新的责任来遵守这些法规。
快速响应事件
发现和阻止网络攻击的速度有多快至关重要。借助适当的工具、人员和情报,可以在漏洞造成任何损害之前遏止这些漏洞。但是,恶意操作者也很聪明,他们会隐藏起来、窃取大量数,并在任何人注意到之前提升他们的权限。安全事件也是一个让人非常有压力的事情,尤其是对于在事件响应方面缺乏经验的人来说。
借助统一的威胁情报和记录良好的程序,SOC 团队能够快速检测、响应攻击,并在遭到攻击后快速恢复。
降低入侵成本
对于组织来说,一次成功的入侵可能会付出非常昂贵的代价。恢复通常需要停机很长时间,很多企业在事件发生后不久会失去客户或难以赢得新客户。通过先于攻击者行动并快速响应,SOC 可帮助组织在重回正常运营时节省时间和金钱。
SOC 团队的最佳做法
要负责的事情太多,SOC 必须有效地组织和管理才能取得结果。拥有强大 SOC 的组织会实施以下安全做法:
策略与业务看齐
即使资金最充裕的 SOC 也必须决定将时间和金钱集中在哪些方面。组织通常会先进行风险评估,来识别最容易出现风险的方面和最大的业务机会。这有助于确定需要保护哪些内容。SOC 还需要了解资产所在的环境。很多企业的环境很复杂,一些数据和应用程序在本地,一些跨多个云分布。策略有助于确定安全专业人员是否需要每天任何时间都可联系,以及是在内部配置 SOC 还是使用专业服务更好。
员工具备能力、经过良好培训
有效 SOC 的关键在于高技能且不断进步的员工。首先是要找到最优秀的人才,但由于安全人员市场竞争非常激烈,因此这可能很棘手。为了避免技能差距,许多组织试着寻找拥有各种专业知识的人员,这些知识包括系统和情报监视、警报管理、事件检测和分析、威胁搜寻、道德黑客、网络取证和逆向工程。他们还会部署可自动执行任务的技术,让较小型的团队更加高效,并提高初级分析员的产出。在定期培训方面投入有助于组织留出关键员工、弥补技能差距和发展员工的职业生涯。
端到端可见性
攻击可能从单个终结点开始,因此 SOC 了解组织的整个环境至关重要,这包括由第三方管理的任何内容。
适当的工具
安全事件是如此的多,团队很容易不知所措。有效 SOC 会在卓越安全工具上投入,这些工具可很好地协同工作,并使用 AI 和自动化来上报重大风险。互操作性是避免覆盖范围出现缺口的关键。
SOC 工具和技术
安全信息和事件管理 (SIEM)
SOC 中最重要的工具之一是基于云的 SIEM 解决方案,它将来自多个安全解决方案和日志文件的数据聚合在一起。借助威胁情报和 AI,这些工具帮助 SOC 检测不断演化的威胁、加快事件响应速度并先于攻击者行动。
安全编排、自动化和响应 (SOAR)
SOAR 可自动执行定期和可预测的扩充、响应和修正任务,从而空出时间和资源来进行更深入的调查和搜寻。
扩展检测和响应 (XDR)
XDR 是一种服务型软件工具,它通过将安全产品和数据集成到简化的解决方案中来提供全面、更优的安全性。组织使用这些解决方案在多云混合环境中主动有效地应对不断演化的威胁环境和复杂的安全挑战。与终结点检测和响应 (EDR) 等系统相比,XDR 扩大了安全范围,从而跨更广泛的产品集成了保护,包括组织的终结点、服务器、云应用程序和电子邮件等。在此基础中,XDR 将预防、检测、调查和响应相结合,提供可见性、分析、相关事件警报和自动化响应来增强数据安全并对抗威胁。
防火墙
防火墙会监视进出网络的流量,根据 SOC 定义的安全规则允许或阻止流量。
日志管理
日志管理解决方案通常是 SIEM 的一部分,它会记录来自组织中运行的每个软件、硬件和终结点的所有警报。这些日志提供了网络活动的相关信息。
这些工具会扫描网络来帮助识别攻击者可能利用的任何薄弱点。
用户和实体行为分析
用户和实体行为分析构建在许多新式安全工具之中,它使用 AI 来分析从各种设备收集的数据,来为每个用户和实体建立正常活动的基线。当事件偏离基线时,会标记该事件供进一步分析。
SOC 和 SIEM
如果没有 SIEM,SOC 将很难完成其任务。新式 SIEM 提供:
- 日志聚合:SIEM 会收集日志数据并关联警报,分析人员可使用这些信息来检测和搜寻威胁。
- 上下文:SIEM 跨组织中的所有技术收集数据,所以它帮助将单个事件之间的点连接起来,识别复杂的攻击。
- 减少警报数:SIEM 使用分析和 AI 来关联警报并识别最严重的事件,从而减少人们需要审查和分析的事件数。
- 自动响应:内置规则使 SIEM 能够识别和阻止可能的威胁,无需人员交互。
另请务必注意,单靠 SIEM 不足以保护组织。人们需要将 SIEM 与其他系统集成,为基于规则的检测定义参数,并评估警报。正因为如此,定义 SOC 策略和聘用适当的员工至关重要。
SOC 解决方案
有多种解决方案可用来帮助 SOC 保护组织。最佳解决方案协同工作,跨本地和多个云提供完整覆盖范围。Microsoft 安全提供全面的解决方案,来帮助 SOC 消除覆盖范围方面的差距,并获得其环境的 360 度视图。Microsoft Sentinel 是基于云的 SIEM,它与 Microsoft Defender 扩展检测和响应解决方案集成,为分析师和威胁搜寻者提供查找和遏止网络攻击所需的数据。
详细了解 Microsoft 安全
常见问题解答
-
网络运营中心 (NOC) 侧重于网络性能和速度。它不仅响应中断,还主动监视网络,以找出可能会减慢流量的问题。SOC 还会监视网络和其他环境,但它只是查找网络攻击的证据。由于安全事件可能会破坏网络性能,因此 NOC 和 SOC 需要协调活动。一些组织在其 NOC 中设置 SOC,以鼓励协作。
-
SOC 团队监视服务器、设备、数据库、网络应用程序、网站和其他系统,以实时发现潜在威胁。他们还及时了解最新威胁并在攻击者利用系统或进程漏洞之前发现和解决这些漏洞,以执行主动安全工作。如果组织已然遭受到攻击,SOC 团队负责根据需要去除威胁以及还原系统和备份。
-
SOC 由有助于保护组织免受网络攻击的人员、工具和流程组成。为了实现其目标,它执行以下功能:清点所有资产和技术、日常维护和准备、持续监视、威胁检测、威胁情报、日志管理、事件响应、恢复和修正、根本原因调查、安全优化和合规性管理。
-
强大的 SOC 通过统一防御、威胁检测工具和安全流程来帮助组织更高效和有效地管理安全性。与没有 SOC 的公司相比,具有 SOC 的组织能够改进其安全流程、更快地应对威胁以及更好地管理合规性。
-
SOC 是负责保护组织免受网络攻击的人员、流程和工具。SIEM 是 SOC 用于保持可见性和响应攻击的众多工具之一。SIEM 汇总日志文件,并使用分析和自动化向决定响应方式的 SOC 成员揭示可信威胁。
关注 Microsoft