SOC nedir?
SOC, tek bir pencerede bir BT altyapısının tüm güvenlik perspektifini gören ve yönetimini sağlamaktan başka bir şey değildir. Tehditleri etkin bir şekilde belirlemek ve böylece ortadan kaldırmak için gereken süreyi azaltmak için gerekli tüm bilgilere sahip olacaktır. Bu basitçe merkez noktasıdır, güvenlikle ilgili tüm bilgilerin çekirdeğidir. SOC, sürekli algılama, tehditler hakkında eyleme geçirilebilir istihbarat toplama, güvenlik açıklarını anlama ve hatta daha fazla rapor oluşturma yeteneği sağlar.
Bir SOC’nin esas olarak üç bileşene, insana, sürece ve teknolojiye ihtiyacı vardır.
SOC çalışanları
Kısa sürede doğru vasıflı personeli bulmak çok zor bir iştir. Bu nedenle, ağ oluşturma ekibinden, yönetim ekibinden ve güvenlik ekibinden birini bir araya getirmek her zaman daha kolay bir seçenektir. Görevlendirme sırasında bu ekiplerin çok çalışmasına ihtiyacımız var. SOC ekibinin 24 saatlik vardiyada olması önerilir. Ancak bu da gereksinimden farklıdır. SOC’yi ilk kez kurduktan sonra, SOC’de çok sayıda uyarı / alarm olması normaldir. Bu uyarılar / alarmlar, basit güvenlik açıklarından ağdaki karmaşık kötü amaçlı yazılımlara kadar değişebilir. Yavaş yavaş SOC ekibi her bir sorunu çözecektir. Son olarak, risk yönetimi kapsamına giren bir miktar artık risk kalacaktır. Ancak bunların dışında SOC ekibi sistemleri izlemeye devam edecek.
SOC personeli dört Hiyerarşik gruba ayrılabilir.
Kademe 1: Güvenlik Analisti
SOC için ‘ön uç’ veya ‘ilk müdahale’ olarak tabir edilen kademedir. Olayın önceliğine ve riskine göre bilet oluşturan kişilerdir. Ayrıca, güvenlik açığı taraması, günlüklerin gelip gelmediğini kontrol etme, gerçek zamanlı izleme vb. gibi uç nokta kontrollerini de yaparlar.
Kademe 2: Güvenlik Analisti
Aşama 1 analist tarafından ortaya atılan alarmı / olayın gerçekten yaşandığı bölümdür. Daha sonra herhangi bir IOC’yi (uzlaşma göstergeleri) kontrol eder. Ayrıca, uygulama yapılandırmaları, belirli olayların ilgili günlükleri gibi çok daha fazla ayrıntı toplar, kötüye kullanılan mevcut güvenlik açıklarını karşılaştırır / kontrol eder ve genellikle bir düzeltme veya kurtarma prosedürleri verir.
Kademe 3: Uzman Analist
Güvenlik açığı verilerini her zaman göz önünde bulundurur, ancak farklı tehdit türlerini ve bunların varlıklar üzerindeki etkilerini belirlemenin farklı yollarını araştırmaya devam eder. Bu insanlar artan olayları beklemezler; bunun yerine güvenlik açıklarından yararlanmaya ve bu tür güvenlik açıklarının etkilerini izlemeye çalışırlar
SOC Müdürü
Risk faktörünü azaltmak için tüm ekipleri koordine eden kişidir. Açılan / kapatılan biletler, uyumluluk durumu, en çok saldırgan ve saldırıya uğrayan ana bilgisayar gibi çeşitli konularda raporlar çalıştırır. İşletmenin güvenlik durumu hakkında yönetime rapor verir ve varsa önerilerde bulunur.