SOC— важная концепция кибербезопасности, и я узнал об этом одним из первых. Со временем в своей повседневной работе я провожу много времени, изучая системы SIEM и используемые решения SOC.
В чем разница между SIEM и SOC? SIEM расшифровывается как Security Incident Event Management и отличается от SOC тем, что представляет собой систему, которая собирает и анализирует агрегированные данные журналов. SOC означает Security Operations Center и состоит из людей, процессов и технологий, предназначенных для обработки событий безопасности, полученных из анализа SIEM.
Оба набора технологий дополняют друг друга с помощью SIEM, анализирующего данные для поиска событий, требующих внимания группы SOC для обработки. Аналитики команд SOC изучат оповещения от систем SIEM и решат, нужно ли их эскалировать дальше. Или это просто ложные срабатывания, когда предупреждение SIEM не так опасно, как ожидалось, и система SIEM сообщает о нем неправильно.
Что такое SIEM-решение?
Решение SIEM состоит из ряда компонентов, участвующих в управлении информацией о безопасности (SIM) и управлении событиями безопасности (SEM), включая следующие:
- Агрегация данных
- Аналитика угроз
- Корреляция событий безопасности
- Расширенная аналитика
- SOC-автоматизация
- Панели мониторинга
- Поиск угроз
- Судебная экспертиза
Давайте рассмотрим эти компоненты решения SIEM более подробно, чтобы увидеть, как они работают и сочетаются друг с другом для анализа инцидентов и предоставления событий безопасности командам SOC.
Решениям SIEM нужны данные из нескольких источников как часть агрегации данных, перемещая данные в одно место. Системы SIEM либо сами собирают данные, либо используют серверы пересылки для отправки журналов из других систем в систему SIEM. Эти журналы, которые собирает SIEM, представляют собой серию событий, записанных в файлы, предоставляя историю активности.
Когда в системе SIEM есть журналы, она использует процесс для анализа событий в журналах и классификации событий в зависимости от серьезности события. Системы SIEM имеют специализированное программное обеспечение, способное анализировать события, используя информацию об угрозах и исторический анализ, чтобы определить, какие события требуют принятия мер, а какие можно игнорировать, поскольку они представляют небольшую угрозу.
