SOC 的功能
SOC 小組成員承擔以下職能,以協助預防、應對和從攻擊中復原。
資產和工具庫存
為了消除涵蓋範圍中的盲點和差距,SOC 需要取得其保護的資產之可見度,並深入了解其用於保護組織的工具。這表示要考慮内部部署和多個雲端上的所有資料庫、雲端服務、身分識別、應用程式和端點。小組還追蹤組織中使用的所有安全性解决方案,如防火牆、反惡意程式碼、反勒索軟體和監視軟體。
縮小受攻擊面
SOC 的一個關鍵職責是减少組織的受攻擊面。SOC 透過維護所有工作負載和資產的清單、對軟體和防火牆套用安全性修補檔、識別設定錯誤以及在新資產上線時新增其來做到這一點。小組成員還負責研究新出現的威脅並分析暴露風險,這有助於其領先於最新的威脅。
持續監控
使用安全性分析解決方案,如安全性資訊企業管理 (SIEM) 解決方案、安全性協調、自動化和回應 (SOAR) 解決方案或延伸偵測及回應 (XDR) 解決方案,SOC 小組全天監視整個環境—內部部署、雲端、應用程式、網路和裝置, 發現異常或可疑行為。這些工具收集遙測資料,彙總資料,在某些情况下,還可以自動化事件回應。
威脅情報
SOC 還使用資料分析、外部摘要和產品威脅報告來深入了解攻擊者的行為、基礎結構和動機。此情報提供了網際網路上發生之事的全貌,並協助小組了解群組是如何作業的。有了此資訊,SOC 可以快速發現威脅,並加強組織抵禦新出現的風險。
威脅偵測
SOC 小組使用 SIEM 和 XDR 解決方案產生的資料來識別威脅。這首先要從實際問題中篩選掉誤判為真的威脅。然後,他們根據威脅的嚴重性和對商務的潜在影響,設定其優先順序。
記錄管理
事件回應
識別網路攻擊,SOC 會迅速採取動作,盡可能减少對商務的干擾,限制對組織的損壞。步驟可能包括關閉或隔離受影響的端點和應用程式,暫時停權受影響的帳戶,移除受感染的檔案,以及執行防毒程式和反惡意程式碼軟體。
回應和補救
攻擊發生後,SOC 負責將公司還原為原狀。小組將抹除並重新連線磁碟、身分識別、電子郵件和端點,重新啟動應用程式,完全移轉至備份系統,並復原資料。
根本原因調查
為了防止類似的攻擊再次發生,SOC 會進行徹底的調查,以識別弱點、不良安全性流程以及導致事件的其他資訊。
安全性精簡
SOC 使用事件期間收集的任何情報來解决弱點,改進流程和原則,並更新安全性藍圖。
合規性管理
SOC 職責的一個關鍵部分是確保應用程式、安全性工具和流程符合隱私權法規,如《全球資料保護規則》(GDPR)、《加州消費者隱私法》(CCPA) 和《健康保險流通與責任法案》(HIPPA)。小組定期稽核系統以確保合規性,並確保在資料外洩後通知監管機构、執法部門和客戶。
SOC 中的關鍵角色
根據組織的規模,典型的 SOC 包括以下角色:
時間回應總監
此角色通常只出現在超大型組織中,負責在安全性事件期間協調偵測、分析、遏制和復原。他們還管理與適當專案關係人的通訊。
SOC 經理
監督 SOC 的是經理,其通常向首席資訊安全人員 (CISO) 報告。職責包括監督人員、執行作業、訓練新員工和管理財務。
安全性工程師
資訊安全工程師保持組織的安全性系統正常運行。這包括設計安全性結構以及研究、實作和維護安全性解决方案。
安全性分析師
安全性事件的第一回應者,安全性分析師,識別威脅,設定其優先順序,然後採取動作控制損失。在網路攻擊期間,他們可能需要隔離被感染的主機、端點或使用者。在一些組織中,安全性分析員根據其負責解决的威脅的嚴重性進行分級。
威脅搜捕者
在一些組織中,最有經驗的安全性分析師被稱為威脅搜捕者。這些人員識別並回應自動化工具無法識別的進階威脅。這是主動式角色,旨在加深組織對已知威脅的理解,並在攻擊發生之前發現未知威脅。
鑑定分析師
較大的組織也可能聘請鑑定分析師,他們在入侵後收集情報以確定其根本原因。他們正在尋找可能有助於防止未來出現類似入侵的系統弱點、違反安全性原則和網路攻擊模式。
SOC 類型
組織建立 SOC 有幾種不同的方式。有些人選擇建立專門的 SOC,配備全職員工。此類型的 SOC 可以是內部的,具有實體内部部署位置,也可以是虛擬的,由工作人員使用數位工具進行遠端協調。許多虛擬 SOC 採用合約和全職員工相結合的方式。外包 SOC,也稱為受控 SOC 或作為服務的安全性作業中心,由受控安全性服務提供者營運,負責預防、偵測、調查和回應威脅。還可以使用內部員工和受控安全性服務提供者的組合。此版本稱為共同管理式或混合式 SOC。組織使用此方法來強化自己的工作人員。例如,如果他們沒有威脅調查人員,那麼聘請協力廠商可能會更容易,而不是試圖在內部為他們配備人員。
SOC 小組的重要性
強大的 SOC 有助於企業、政府和其他組織在不斷演變的網路威脅格局中保持領先地位。這不是一項容易的工作。攻擊者和防禦社群都經常開發新技術和策略,管理所有變更需要時間和精力。SOC 使用其對更廣泛的網路安全性環境的知識以及對內部弱點和商務優先順序的了解,協助組織製定符合商務長期需求的安全性藍圖。當攻擊確實發生時,SOC 還可以限制商務影響。因為他們持續監視網路並分析警示資料,所以他們比分散在其他幾個優先事項中的小組更有可能更早地發現威脅。藉由定期訓練和有據可查的流程,SOC 可以快速處理目前事件—即使在極端壓力下也是如此。對於那些不整天、每天都專注於安全性作業的小組來說,這可能很困難。
SOC 的優點
SOC 透過統一用於保護組織免受威脅的人員、工具和流程,協助組織更高效、更有效地抵禦攻擊和入侵。
增強式安全性態勢
提高組織的安全性是一項永遠進行中的工作。它需要持續的監視、分析和規劃來發現弱點並掌握不斷變化的技術。當人們有其他重要的優先事項時,很容易忽視這項工作,而傾向於更緊迫的工作。
集中式 SOC 有助於確保流程和技術不斷改進,從而降低成功攻擊的風險。
遵守隱私權規定
行業、州、國家和地區都有不同的規定來管理資料的收集、儲存和使用。許多要求組織匯報資料外洩,並應消費者的要求删除個人資料。擁有正確的流程和程序與擁有正確的技術同樣重要。SOC 的成員透過擁有保持技術和資料流程最新的所有權來協助組織遵守規定。
快速時間回應
它使發現和關閉網路攻擊的速度有了很大的差別。有了正確的工具、人員和情報,許多入侵在造成任何損害之前就已封鎖。但惡意執行者也很聰明,他們會躲起來,竊取大量資料,並在任何人注意到之前升級其特權。安全性事件也是壓力很大的事件,尤其是對於缺乏事件回應經驗的人來說。
使用統一威脅情報和有據可查的程序,SOC 小組能够快速偵測、回應攻擊並從中復原。
入侵的成本降低
成功的入侵對組織來說可能代價高昂。復原往往會導致嚴重的停機,許多企業在事故發生後不久就會失去客戶或難以贏得新客戶。SOC 透過領先於攻擊者並快速回應,協助組織在恢復正常作業時節省時間和金錢。
SOC 小組的最佳做法
有這麼多責任,必須有效地組織和管理 SOC 才能取得成果。擁有強大 SOC 的組織實作以下最佳做法:
與商務一致的策略
即使是資金最充足的 SOC 也必須决定將時間和資金集中在何處。組織通常從風險評定開始,以確定最大的風險領域和商務的最大機會。這有助於確定需要保護的內容。SOC 還需要了解資產所在的環境。許多企業都有複雜的環境,其中一些資料和應用程式在內部部署,另一些則跨多個雲端。策略有助於確定安全性專業人員是否需要每天 24 小時待命,以及 SOC 是內部作業還是使用專業服務更好。
才華橫溢、訓練有素的員工
有效的 SOC 的關鍵是不斷進步的高技能員工。它從尋找最優秀的人才開始,但這可能很棘手,因為安全性人員的市場競爭激烈。為了避免技能差距,許多組織試圖尋找具有各種專長的人員,如系統和情報監視、警示管理、事件偵測和分析、威脅搜捕、道德駭客、網路鑑定和反向工程。他們還部署自動化工作的技術,使較小的小組更加有效,並提高初級分析師的輸出。投資於定期訓練有助於組織留住重要員工,填補技能缺口,並發展員工的職涯。
端對端可見度
因為攻擊可以從單一端點開始,所以 SOC 在組織的整個環境中具有可見性至關重要,包括由協力廠商管理的任何內容。
正確的工具
安全性事件太多了,很容易壓垮小組。有效的 SOC 投資於協同工作良好的安全性工具,並使用 AI 和自動化來提升重大風險。互通性是避免涵蓋範圍差距的關鍵。
SOC 工具和技術
安全性資訊與事件管理 (SIEM)
SOC 中最重要的工具之一是雲端式 SIEM 解決方案,其彙總來自多個安全性解决方案和記錄檔的資料。這些工具使用威脅情報和 AI,協助 SOC 偵測不斷演變的威脅,加快事件回應,並領先於攻擊者。
安全性協調流程、自動化和回應 (SOAR)
SOAR 自動化週期性、可預測的擴充、回應和補救工作,為更深入的調查和搜捕騰出了時間和資源。
延伸偵測及回應 (XDR)
XDR 是 SaaS 工具,透過將安全性產品和資料整合至簡化的解決方案中,提供全面、最佳化的安全性。組織使用這些解決方案,在多雲端、混合式環境中積極有效地應對不斷變化的威脅形勢和複雜的安全性挑戰。相較於端點偵測及回應 (EDR) 這類的系統,XDR 拓展了安全性的範圍,為更廣泛的產品 (包括組織端點、伺服器、雲端應用程式和電子郵件等等) 整合保護措施。從這之後,XDR 將預防、偵測、調查和回應相結合,以提供可見度、分析、相互關聯事件警示和自動化回應,從而提高資料安全性並對抗威脅。
防火牆
防火牆監視進出網路的流量,根據 SOC 定義的安全性規則允許或封鎖流量。
記錄管理
記錄管理解決方案通常作為 SIEM 的一部分,記錄來自組織中執行的每一個軟體、硬體和端點之所有警示。這些記錄提供有關網路活動的資訊。
這些工具掃描網路,以協助識別攻擊者可能惡意探索的任何弱點。
使用者與實體行為分析
使用者與實體行為分析內建於許多新式安全性工具中,使用 AI 分析從各種裝置收集的資料,為每個使用者和實體建立正常活動的基準線。當事件偏離基準線時,會對其進行標幟以進行進一步分析。
SOC 和 SIEM
如果沒有 SIEM,SOC 將極難實現其使命。新式 SIEM 提供:
- 記錄彙總:SIEM 收集記錄資料並相互關聯警示,分析師將其用於威脅偵測和搜捕。
- 內容:由於 SIEM 收集組織中所有技術的資料,它有助於將單一事件之間的點連線起來,以識別複雜攻擊。
- 更少的警示:透過使用分析和 AI 相互關聯警示並識別最嚴重的事件,SIEM 减少了人們需要檢閱和分析的事件數量。
- 自動化的回應:內建規則允許 SIEM 識別可能的威脅並封鎖它們,而無需人員進行互動。
同樣重要的是要注意,僅 SIEM 是不足以保護組織的。需要人員將 SIEM 與其他系統整合,定義規則型偵測參數,並評估警示。這就是為什麼定義 SOC 策略並聘請合適的員工至關重要。
SOC 解決方案
有一系列廣泛的解決方案可用於協助 SOC 保護組織。最好的解決方案搭配工作,可以提供跨內部部署和多個雲端的完整涵蓋範圍。Microsoft 安全性提供了全面的解決方案,可協助 SOC 消除涵蓋範圍上的差距,並取得其環境的 360 度檢視。Microsoft Sentinel 是一款雲端式 SIEM,它與 Microsoft Defender 延伸偵測及回應解決方案整合,為分析師和威脅搜捕者提供尋找和封鎖網路攻擊所需的資料。
深入了解 Microsoft 安全性
常見問題集
-
網路作業中心 (NOC) 專注於網路效能和速度。它不僅對中斷做出回應,而且還主動監視網路,以確定可能減緩流量的問題。SOC 也監視網路和其他環境,但它正在尋找網路攻擊的證據。由於安全性事件可能會破壞網路效能,NOC 和 SOC 需要協調活動。一些組織將其 SOC 放在 NOC 內,以鼓勵共同作業。
-
SOC 小組監視伺服器、裝置、資料庫、網路應用程式、網站和其他系統,以即時發現潜在威脅。他們還透過及時掌握最新威脅,並在攻擊者利用系統或流程弱點之前識別和解决它們,來進行主動安全性作業。如果組織遭受了成功的攻擊,SOC 小組負責消除威脅,並在必要時還原系統和備份。
-
SOC 由協助保護組織免受網路攻擊之人員、工具和流程組成。為了實現其目標,它執行以下職能:清查所有資產和技術、日常維修和準備、持續監視、威脅偵測、威脅情報、記錄管理、事件回應、復原和補救、根本原因調查、安全性改進和合規性管理。
-
強大的 SOC 透過統一防禦者、威脅偵測工具和安全性流程,協助組織更高效地管理安全性。與沒有 SOC 的公司相比,具有 SOC 的公司能够改進其安全性流程,更快地回應威脅,更好地管理合規性。
-
SOC 是指負責防範組織遠離網路攻擊的人員、程序和工具。SIEM 是 SOC 使用的眾多工具之一,可用來維持可見度並回應攻擊。SIEM 會彙總記錄檔並使用分析和自動化,將可能的威脅呈現給決定回應方式的 SOC 成員。
關注 Microsoft