Перейти к содержанию

Security Operation Center (SOC)


Источниками данных для SOC являются логи. Как правило к основным относятся логи ОС, файрвола, DNS, DHCP серверов. Собрать логи всех сервисов в кучу помогает SIEM


Сервисы SOC подразделяются на:

  • упреждающие
  • реагирующие (proactive and reactive)
  • прочие

Задача реагирующих сервисов заключается в обнаружении вторжений или подозрительных действий, а также в применении мер относительно этих действий. К таким сервисам относятся:

  1. Системы наблюдения за состоянием инфраструктуры (SIEM ?). Является основным инструментом. Определяет отклонения от нормальных показателей, сигнализирует об этом для принятия необходимых мер в соответствии с планами реагирования (привет Incident responder)
  2. Системы обнаружения уязвимостей. Позволяют находить уязвимости в используемом ПО, а также в некоторых случаях патчить их (однако это, как правило не входит в задачу SOC)
  3. Системы анализа малвари. Достают малварь из сети, запускают в песочнице для первичного исследования поведения. Как правило для глубокого исследования отдают заразу malware analyst-ам
  4. *Обнаружение вторжений. IPS/IDS системы. ОБнаруживают и логируют попытки вторжений, подозрительных пакетов. Задача SOC конфигурировать, эксплуатировать такие системы. *
  5. Системы отчености. Необходимый инструмент не только для того чтобы соответствовать требования регуляторов, но и для дальнейшего ретроспективного анализа всех событий/инцидентов.

Упреждающие инструменты направлены на выявление угроз которые еще невозможно обнаружить реактивными способами. К примеру, почитали отчет аналитиков о том, что есть такая то малварь, которая ведет себя так то так то. Далее предполагается, что эта малварь уже в сети. Следовательно зная её поведение, проводится поиск наличия индикаторов компроментации.