10 стратегий первоклассного SOC (перевод гайда MITRE)

2.3 Характеристики

Поскольку SOC могут значительно отличаться по размеру и структуре, нужно определить ключевые характеристики для описания этих различий. Прежде чем подробно описывать различные возможности SOC, начнем с трех его характеристик:

  1. Отношения с потребителями услуг SOC с организационной точки зрения.
  2. Распределение ресурсов, которые составляют SOC (например, его организационная модель).
  3. Полномочия, которыми он обладает в отношении потребителей своих услуг.

Наши рассуждения опираются на материалы из Carnegie Mellon CERT [4] [8], все обновления или концептуальные изменения будут указаны отдельно. Эти характеристики будут использоваться далее в оставшейся части книги.

2.3.1 Положение потребителей услуг SOC

SOC являются либо частью организации, которую они обслуживают, либо являются внешней по отношению к ней сущностью.

More

2.2 Задачи и темп действий

SOC могут варьироваться от небольших команд в пять человек до огромных национальных координационных центров. Типичная задача SOC среднего уровня обычно включает следующие элементы:

  1. Предотвращение инцидентов кибербезопасности:
    1. Непрерывный анализ угроз;
    2. Сканирование сетей и узлов для поиска уязвимостей;
    3. Координация развертывания противодействия;
    4. Консалтинг в области политики безопасности и архитектуры.
  2. Мониторинг, обнаружение и анализ потенциальных вторжений в режиме реального времени и через отслеживание трендов из значимых источников данных в области безопасности.
  3. Реагирование на подтвержденные инциденты путем координации ресурсов и контроля за использованием своевременных и соответствующих ситуации защитных мер.

More

2.1 Что такое SOC? (перевод гайда MITRE)

2. Основы

В этом разделе мы рассмотрим основные понятия SOC: что такое SOC, его основные задачи, инструменты, которые он использует для их выполнения, а также ключевые факторы, влияющие на достижение его целей. Большая часть материала описана в последующих разделах.

Даже если вы уже имеете опыт участия в процессе реагирования на инциденты или обеспечения безопасности, вам может быть полезно прочитать этот раздел, поскольку в нем уточняется ключевая терминология и факторы, используемые в книге.

2.1 Что такое SOC?

SOC определяется прежде всего через свою основную задачу – защиту компьютерных сетей (computer network defense, CND).

More

Гайд MITRE по стратегиям SOC в переводе от R-Vision

MITRE Guide 10 strategies of a world-class SOC

Как правильно определить размер и структуру команды SOC? Как привлечь и удержать грамотный персонал и развить его навыки? Какие следует внедрять технологии и процессы, чтобы обеспечить быстрое и динамичное реагирование? Как осуществить масштабный сбор данных и их анализ в условиях ограниченного бюджета? Где размещать сенсорные технологии и каким образом выбирать источники данных?

Ответы на эти и многие другие вопросы можно почерпнуть в руководстве MITRE “Ten Strategies of a World-Class Cybersecurity Operations Center” (автор Carson Zimmerman) – одном из лучших гайдов по построению SOC. В книге собраны лучшие практики и советы, которые были выработаны корпорацией MITRE в ходе построения ряда крупных государственных SOC в США.

More