ما هو SOC ( Security Operation Center )

ما هو SOC ( Security Operation Center )

موقع او مكان مركزي داخل المؤسسة يتم توظيف الأشخاص والعمليات و التكنولوجيا فيه لمراقبة الوضع الأمني للمؤسسة وتحسينه بشكل مستمر لمنع حوادث الأمن السيبراني واكتشافها وتحليلها والاستجابة لها.

 





Security Operation Center ما هو SOC ( Security Operation Center )
Security Operation Center

الفرق المتواجدة في SOC

1- فريق محللي العمليات الامنية SOC Analyst : هو فريق يتكون أساسًا من متخصصين في الأمن السيبراني ، يختلف عدد اعضاء فريق SOC حسب حجم المؤسسة التي يعملون فيها الا ان لهم نفس الادوار والمسؤوليات تقريباً .

عادة ما يتكون محللي فريق العمليات الامنية من ثلاث مستويات مع مدير للفريق :
محلل المستوى الاول L1 : يقوم بمتابعة جميع الاحداث الامنية التي تظهر على الشاشات من خلال الحلول الامنية وخصوصاً SIEM واذا شك او ظهر alert لحدث معين يقوم بتحويله الى الموظف في المستوى الثاني .
محلل المستوى الثاني L2 : يستلم الاحداث من محلل L1 ويقوم بتحليلها والتحقيق فيها والتأكد اذا كان انذار خاطئ False Positive او تهديد حقيقي ، فإذا تأكد انه تهديد حقيقي ينقله الى محلل المستوى الثالث .
محلل المستوى الثالث L3 : يقوم باتخاذ Action ضد التهديدات مثل العزل Isolation واضافة IP الى Blacklist والتحقيق فيما اذا انتقل التهديد الى اماكن اخرى في الشبكة وعمل Lateral Movement .





 

 

2- فريق الاستجابة للحوادث الامنية .
3- فريق اصطياد التهديدات الامنية
4- فريق التحقيق الجنائي الرقمي .

مهام فريق SOC :

1- منع حوادث الأمن السيبراني من خلال تدابير استباقية مثل التحليل المستمر للتهديدات و البحث عن نقاط الضعف .
2- رصد ، وكشف ، وتحليل الهجمات المحتملة في الوقت الحقيقي
واصطياد التهديدات باستخدام مجموعة متنوعة من مصادر البيانات .
3- الاستجابة للحوادث المؤكدة .
4- توفير الوعي بالموقف والإبلاغ عن حالة الأمن السيبراني والحوادث و
الاتجاهات في سلوك الخصم للمنظمات المناسبة .

الوظيفة :

تتمثل وظيفة فريق مركز العمليات الأمنية في مراقبة التهديدات الإلكترونية واكتشافها والتحقيق فيها والاستجابة لها على مدار الساعة.
حيث يقومون بجمع وتحليل وتخزين الأحداث الأمنية من الملايين إلى عشرات المليارات كل يوم. تتضمن الأحداث اتصال مستخدم بملف مشاركة ، واستلام خادم طلب لصفحة ويب ، ومستخدم يرسل بريدًا إلكترونيًا، وجدار ناري يمنع محاولة الاتصال.

التكنولوجيا المستخدمة في SOC

1- SIEM Solution ويعتبر قلب غرفة العمليات الامنية والذي يراقب جميع الاحداث الامنية ويظهر التنبيهات وغيرها .
2- EDR
3- IPS & IDS
4- Log Management
وغيرها من الحلول والادوات بالاضافة الى الادوات المفتوحة المصدر

ما هي اهم Vendors لل SIEM ؟

Splunk Enterprise
LogRhythm NextGen SIEM Platform
QRadar SIEM
McAfee Enterprise Security Manager
افضل open source SIEM
The ELK Stack
OSSIM
OSSEC
Wazuh
SIEMonster
SecurityOnion
Snort

ما هو Managed security service provider (MSSP)

نظراً للتكاليف المرتفعة التي تحتاجها المؤسسة لبناء SOC داخل المؤسسة من تكنولوجيا غالية الثمن و فرق متخصصة تعمل على مدار الساعة ، قدمت بعض الشركات خدمة MSSP .
بمعنى بدلاً من بناء SOC داخل المؤسسة توفر الشركات جميع خدمات الSOC عن بعد As A service .
يوفر موفر خدمة الأمان المُدارة (MSSP) المراقبة الخارجية وإدارة الأجهزة والأنظمة الأمنية. حيث تشمل الخدمات المشتركة جدار الحماية المُدار ، وكشف التسلل ، والشبكة الخاصة الافتراضية ، ومسح الثغرات الأمنية ، والخدمات المضادة للفيروسات.
يستخدم MSSPs مراكز عمليات أمنية عالية التوفر (إما من منشآتهم الخاصة أو من مزودي مراكز البيانات الآخرين) لتوفير خدمات على مدار الساعة وطوال أيام الأسبوع مصممة لتقليل عدد أفراد الأمن التشغيلي الذي تحتاجه المؤسسة لتوظيفهم وتدريبهم والاحتفاظ بهم للحفاظ على أمان مقبول.

مصدر مهم وحديث من MITRE عن استراتيجيات عمل SOC

هنا

كيف تبني SOC بمصادر محدودة من LogRythm

هنا

الاستاذ احمد كاظم

شكرا لكم