- vừa được xem lúc

Tìm hiểu về SOC - Security Operation Center

#soc

0 0 2

Người đăng: Nguyen Nguyen

Theo Viblo Asia

SOC là gì?

Trung tâm Vận hành An ninh (SOC) là một cơ sở nơi nhóm an ninh thông tin liên tục giám sát và phân tích an ninh của một tổ chức. Mục đích chính của nhóm SOC là phát hiện, phân tích và ứng phó với các sự cố an ninh mạng bằng công nghệ, con người và quy trình.

Các loại mô hình SOC

  • In-house SOC: được thành lập khi một tổ chức xây dựng đội ngũ an ninh mạng
  • Virtual SOC: không có cơ sở cố định và thường làm việc từ xa ở nhiều địa điểm khác nhau
  • Co - Managed SOC: bao gồm nhân viên SOC nội bộ làm việc với Nhà cung cấp Dịch vụ An ninh Được Quản lý (MSSP) bên ngoài
  • Command SOC: Nhóm SOC này giám sát các SOC nhỏ hơn trên một khu vực rộng lớn. Các tổ chức sử dụng mô hình này bao gồm các nhà cung cấp dịch vụ viễn thông lớn và các cơ quan quốc phòng

SOC Roles

  • SOC Analyst:có thể được phân loại thành Cấp độ 1, 2 và 3 theo cấu trúc SOC
  • Incident Responder: người chịu trách nhiệm phát hiện mối đe dọa. Vai trò này thực hiện đánh giá ban đầu về các vi phạm an ninh.
  • Threat Hunter: chủ động tìm kiếm và điều tra các mối đe dọa và lỗ hổng tiềm ẩn trong mạng hoặc hệ thống của tổ chức. Họ sử dụng kết hợp các kỹ thuật thủ công và tự động để phát hiện, cô lập và giảm thiểu các mối đe dọa dai dẳng (APT) tiên tiến và các cuộc tấn công tinh vi khác có thể vượt qua các biện pháp bảo mật truyền thống.
  • Security Engineer: duy trì cơ sở hạ tầng bảo mật của các giải pháp (SIEM) và các sản phẩm trung tâm vận hành bảo mật (SOC)
  • SOC Manager: đảm nhận các trách nhiệm quản lý như lập ngân sách, lập chiến lược, quản lý nhân viên và điều phối hoạt động. Họ xử lý các vấn đề vận hành hơn là kỹ thuật.

Quản lý Nhật ký cung cấp quyền truy cập vào tất cả nhật ký trong một môi trường (nhật ký web, nhật ký hệ điều hành, tường lửa, proxy, EDR, v.v.) và cho phép bạn quản lý chúng tại một nơi

Endpoint Detection and Response (EDR), còn được gọi là Endpoint Threat Detection and Response (ETDR), là giải pháp bảo mật điểm cuối tích hợp kết hợp giám sát và thu thập dữ liệu điểm cuối liên tục, theo thời gian thực với khả năng phân tích và phản hồi tự động dựa trên quy tắc. EDR có thể giúp cách ly thiết bị điểm cuối khỏi mạng, chỉ giao tiếp với trung tâm EDR, ngay cả khi thiết bị đã được cách ly khỏi mạng, vẫn có thể tiếp tục phân tích.

SOAR là viết tắt của Security Orchestration Automation and Response (Tự động hóa và Phản hồi Điều phối Bảo mật). SOAR cho phép các sản phẩm và công cụ bảo mật trong một môi trường hoạt động cùng nhau, giúp đơn giản hóa nhiệm vụ của các thành viên nhóm SOC. Ví dụ: SOAR sẽ tự động tìm kiếm VirusTotal để tìm địa chỉ IP nguồn của cảnh báo SIEM, giảm khối lượng công việc cho chuyên viên phân tích SOC

  • tiết kiệm thời gian với các quy trình làm việc tự động hóa
  • Tập trung hóa: sử dụng nhiều công cụ bảo mật khác nhau bằng cách cung cấp một phần mềm tất cả trong một

image.png

Threat Intelligence Feed : SOC cần nhận thức ngay lập tức về các mối đe dọa mới nhất và thực hiện các biện pháp phòng ngừa cần thiết. Để đáp ứng nhu cầu này, các nguồn cấp dữ liệu tình báo về mối đe dọa được tạo ra. Nguồn cấp dữ liệu tình báo về mối đe dọa là dữ liệu (như mã băm phần mềm độc hại, địa chỉ tên miền/IP C2 (Command&Control), v.v.) do công ty bên thứ ba cung cấp.

Bình luận

Bài viết tương tự

- vừa được xem lúc

LÀM SAO ĐỂ CHỦ ĐỘNG PHÁT HIỆN NHỮNG NGUY CƠ TẤN CÔNG MỚI TỪ BÊN NGOÀI?!

Hàng ngày, theo thống kê từ các tổ chức uy tín như checkpoint, fireeye, kaspersky… có đến hàng triệu cuộc tấn công mới trên internet vào các hệ thống công nghệ thông tin. https://www.

0 0 26

- vừa được xem lúc

Tìm hiểu về Splunk

Tìm hiểu về Splunk. Splunk là hệ thống có thể captures, trích ra các dữ liệu thời gian thực có liên quan tới nhau từ đó nó có thể.

0 0 5