SOC Komponentləri Nələrdir?

Əgər siz SOC qurmaq barədə düşünürsünüzsə, onda başınıza gələ biləcək ilk sual budur, təhlükəsizlik əməliyyat mərkəzinin komponentləri hansılardır?

Təhlükəsizlik əməliyyat mərkəzi üç əsas komponentdən ibarətdir:

  1. İşçilər

  2. Proses

  3. Texnologiya

İşçilər

SOC Analyst L1

Təhlükəsizlik insidentlərinin təhqiq edilməsinə və hadisənin şiddətinin müəyyən edilməsinə cavabdehdir. Buraya hadisənin mənbəyinin müəyyən edilməsi, hadisənin əhatə dairəsinin müəyyən edilməsi və hadisənin təsirinin qiymətləndirilməsi daxildir.

SOC Analyst L2

SOC səviyyə 2 analitikləri hadisələrin kök səbəbini araşdırmaq və gələcəkdə oxşar hadisələrin baş verməsinin qarşısını almaq üçün uzunmüddətli həll yollarının işlənib hazırlanmasına cavabdehdirlər. Onlar həmçinin insidentlərə cavab verməkdə mühüm rol oynayır və kibertəhlükəsizlik insidentlərinin qarşısını almaq və həll etmək üçün çalışırlar.

İncident Responder

Artıq baş vermiş təhlükəsizlik insidentlərinə cavab vermək və onları həll etmək üzərində cəmləşirlər. Təhlükəsizlik hadisəsi SOC və ya təhlükəsizlik qrupunun digər üzvləri tərəfindən aşkar edildikdə, hadisəyə cavab verən şəxs adətən problemi araşdırmaq və həll etmək üçün çağırılan şəxs olur.

Buraya hadisənin əsas səbəbinin müəyyən edilməsi, hansı məlumatların və ya sistemlərin təsirləndiyini müəyyən etmək, zərərin qarşısını almaq və azaltmaq üçün tədbirlərin həyata keçirilməsi daxil ola bilər.

Threat Hunter

Threat hunters əsas hücumçu üsulları və davranışları haqqında peşəkar biliklərə daha çox diqqət yetirən yanaşmadan istifadə edirlər. Təhdid ovçularının diqqəti təcavüzkar davranışlarının aşkarlanmasına yönəldilir ki, bu da daha sonra fəal düşüncə tərzi ilə birləşdirilir. Threat hunters diqqəti dəyişkən göstəricilərə deyil, hücumçu üsullarına yönəlib, bunun üstünlüyü əhatə etmək üçün çox az texnikanın olmasıdır. Onlar bütün mümkün hücumları əhatə etmək imkanı verən yeni hücumçu üsulları ilə yanaşı son nöqtə sahələrinə diqqət yetirirlər.

SOC Manager

Təhlükəsizlik Əməliyyatları Mərkəzinin (SOC) meneceri SOC-un gündəlik əməliyyatlarına və strateji istiqamətinə nəzarət etmək üçün məsuliyyət daşıyır. SOC meneceri SOC komandasını effektiv idarə etməklə, təhlükəsizlik protokollarını həyata keçirməklə və maraqlı tərəflərlə əməkdaşlıq etməklə təşkilatın təhlükəsizliyinin qorunmasında mühüm rol oynayır.

CISO(Chief Information Security Officer)

Təhlükəsizlik sisteminə lazımi qorumanı təmin etmək üçün təhlükəsizlik siyasəti və prosedurlarının layihələndirilməsi və həyata keçirilməsini təmin edir. Deployment proseslərini, security hardware və software alətlərini izləyir. Təhlükəsizlik məsələləri ilə bağlı rəhbərliklə əlaqə saxlayır.Riskləri idarə edir.

Proseslər

SOC mühitində proseslərdən və hansı vəziyyətdə və necə edilməli olduğundan danışarkən, yazılı bir prosesin olması lazım olan çox şey var. Bununla belə, SOC-da olması lazım olan ən ümumi olanlardan müzakirə edək.

Hadisənin triaj prosesi

İnsidentə qarşı mübarizə planının ilk addımı hadisənin triajıdır. Bu prosesdə məsul şəxs sadə şəbəkə admini və ya şəbəkədə baş verən hadisələri görmək, hadisəni kateqoriyalara ayırmağa çalışmaq və ona risk səviyyəsini təyin etmək üçün düzgün imtiyazlara malik hər kəs ola bilər.

Hadisələrin hesabat prosesi

Kompüter təhlükəsizliyi insidentinin bağlanması hadisəyə səbəb olan zəifliklərin bağlandığı və hadisənin bütün izlərinin təmizləndiyi aradan qaldırılması mərhələsinə aiddir.

Hadisənin təhlili prosesi

Hadisələrin təhlili prosesi SOC komandasının əsas işidir. Bu proses hadisənin kök səbəbini aşkar etməyin yollarını və ilkin mərhələlərdə onun qarşısının alınmasını müəyyənləşdirir.

Hadisənin bağlanması prosesi

Hadisənin bağlanması prosesi, hadisənin səbəbi olan zəiflik aradan qaldırıldıqdan sonra başlanır. Bundan əlavə, bu prosesə zəifliyin uğurla aradan qaldırıldığını test etmek və yoxlamaq daxildir.

Hadisədən sonrakı fəaliyyət prosesi

Bu proses bütün SOC komandasına aiddir, bu, komandanın qalan hissəsinə bu yeni iş haqqında öyrətmək üçün çox məlumat toplamağa çalışdığınız bir növ öyrənilmiş prosesdir.

Zəifliyin aşkarlanması prosesi

Bu proses İT şəbəkəsində zəifliklərin aşkar edilməsi və onların təsirinin necə qiymətləndirilməsini müəyyən edir. Bundan əlavə, bu proses həm də xarici zəifliklərin məlumat mənbələrini istehlak etməyin yollarını və daxili istifadə olunan həllər ilə onların yoxlanılmasını təsvir edə bilər.

Zəifliyin aradan qaldırılması və izlənməsi

Bu proses zəiflikləri sistem sahiblərinə çatdırmağın yollarını və onların aradan qaldırılması və izlənilməsi yollarını təsvir edir.

Texnalogiya

Mən sizə yalnız SOC-da ehtiyac duyacağınız əsas alətlər və texnologiyalar haqqında məlumat verəcəyəm.

  • SIEM Solutions: Təhlükəsizlik hadisələri ilə bağlı real vaxt anlayışını təmin etmək üçün jurnal məlumatlarını toplayır və təhlil edir.

  • Intrusion Detection Systems (IDS) və Intrusion Prevention Systems (IPS): Zərərli davranış üçün şəbəkə və/və ya sistem fəaliyyətlərinə nəzarət edin.

  • Firewalllar: Əvvəlcədən müəyyən edilmiş təhlükəsizlik qaydalarına əsasən şəbəkə trafikinə nəzarət və nəzarət.

  • Endpoint Detection and Response (EDR) Həlləri: Son nöqtə səviyyəsində (fərdi cihazlar) nəzarət edin və təhdidlərə cavab verin.

  • Təhlükəsizlik Orkestrasiyası, Avtomatlaşdırma və Cavab (SOAR) Alətləri: Hadisələrə cavab proseslərini avtomatlaşdırın və sadələşdirin.

  • Təhdid Kəşfiyyatı Platformaları: Təhlükəsizlik tədbirlərini gücləndirmək üçün təhdid kəşfiyyatı məlumatlarını idarə edin və təhlil edin.

PreviousSOC Nədir?NextSOC Checklist

Last updated