Security Operations Center (SOC)

SOC是做什么的?

A SOC does many security-related tasks, 包括持续监控安全操作和事件，并对可能出现的问题作出反应. 网络安全团队中的各种职责可能极其复杂, SOC不仅可以作为战术控制台，让团队成员能够执行日常任务, but also as a strategic center to keep the team aware of bigger, longer-term security trends.

典型的SOC跟踪组织可能遇到的任意数量的安全警报, including potential threat notifications via technologies 和 tools, as well as employees, 合作伙伴, 和 external sources.

然后，SOC通常会调查并验证报告的威胁，以确保它不是假阳性(例如.e. a reported threat that's actually harmless). 如果安全事件被认为是有效的并且需要响应, SOC将其移交给适当的人员或团队进行响应和恢复.

It takes a sophisticated combination of expertise, 过程, 和 organization to effectively run a SOC as part of an overall threat detection 和 response program. 这就是为什么每个组织可能都无法在内部支持或提供SOC资源的原因. 相反，许多人选择由外部机构管理他们的SOC，称为 Security Operations Center as a Service (SOCaaS).

What are the Components in a SOC? 

SOC中的组件数量很多，必须在SOC成为可行的选择之前进行结构化和就位. Let's take a look at a few: 

• Attack Surface Management Program:这包括针对所有威胁入口和出口途径的威胁防护技术 vulnerability scanning (和 associated patching), 渗透测试, user authentication 和 authorization, 资产管理, external application testing (with associated patching), 和 remote access management. 
• Incident Response Plan:通常, 将SOC引入IDR计划的主要目标之一是提高组织环境中检测威胁的有效性. 如果 incident response 过程es 在发现漏洞后，这些措施没有到位，也没有定期进行测试, you're only addressing some components of an effective IDR program. 
• Disaster Recovery Plan:漏洞只是组织需要从灾难中恢复的一个特定示例. 一旦检测到的违规行为已经完全确定，受影响的资产, 应用程序, 和 users have been contained, 需要制定一个计划来恢复正常的业务操作流程. This will take time 和 be easier said than done, 但是，有必要让基本系统尽可能快地恢复正常运行——恢复到接近正常的状态也会有助于组织士气.

What is Needed for SOC Setup? 

Three main elements are needed for SOC setup. 无论SOC是在内部创建还是外包给托管提供商, preparing these core functions is essential to success.

人

了解SOC分析师的角色和职责是选择运行SOC的技术的重要前提. 您创建的团队和您给他们的任务将依赖于您的组织的现有结构. 例如, 如果您正在构建SOC以增强现有的威胁检测和响应能力, 您需要考虑SOC团队成员负责哪些具体任务，哪些任务属于非SOC IDR团队.

您还需要在SOC分析师之间划分职责，并可能考虑SOC自动化，以便清楚地了解谁处理高保真警报, who validates low-fidelity alerts, who escalates alerts, who hunts for emergent threats, 等. 许多soc在分层人员配置框架内运行，以建立明确的职责和层次结构.

技术

决定SOC使用什么技术是在上面提到的建立角色和职责的时间将得到回报的地方. What technology will they use? Likely, they’ll need to combine tools for log aggregation, user behavior analytics (UBA), endpoint interrogation, real-time search, 和 more. 重要的是要看看SOC分析师是如何使用你的技术的，并确定现有技术是帮助还是阻碍了流程，以及是否需要新技术来取代它. 拥有适当的通信工具来支持分析师之间的协作也很重要. 其他 important considerations:

• The environment you operate in (cloud, on-premise, or hybrid) 
• The type of threats you face (malware, phishing, 等.)
• 您需要遵守的法规遵从性要求(HIPAA、SOC2、ISO 27001等).) 

流程

建立上述人员和技术将遵循的流程是开始使用SOC时需要考虑的最后一个组件. What happens if a security incident needs to be validated, 报道了, 升级, or h和ed off to another team? How will you collect 和 analyze metrics?

这些过程必须作为一个足够精确的框架，以确保调查线索按照重要程度进行处理, but loose enough as to not dictate analysis 过程es. 流程 can make or break the effectiveness of a SOC, 因此，应该从一开始就建立事件管理工作流，以确保流程中的每个步骤都是更大战略的一部分.

The points above still 应用 when working with an 托管SOC提供商. A SOC will be a trusted organizational partner, 因此，他们在沟通中积极主动、有规律是很重要的, 透明度, 反馈, 并与您合作，以确保您的SOC尽可能成功和有效.

Read More About SOC Strategy

• Learn more about Rapid7's Managed SOC 服务
• Intro to the SOC Visibility Triad
• SOC Series: How to Structure 和 Build a Security Operations Center
• The Future of the SOC Is XDR
• SOC: Latest 新闻 from the 博客