تعریف مرکز عملیات امنیت به زبان ساده
مرکز عملیات امنیت همان Security Operation Center میباشد که به اختصار به آن SOC نیز میگویند.
SOC مرکزی درون یک سازمان است که در آن تجهیزات مربوطه در اختیار افراد متخصص قرار میگیرد تا بهصورت مرتب و پیوسته، رویدادهای امنیتی آن سازمان را مانیتور کنند. در همین حال جلوگیری، تشخیص، آنالیز و پاسخ به رویدادهای امنیتی آن سازمان نیز، توسط این مرکز صورت میگیرد.
وظایف مرکز عملیات امنیت
این مرکز بهصورت مداوم وقایعی که در سیستمهای سازمان نظیر تجهیزات شبکه، سرورها، کامپیوترها، پایگاههای داده، برنامهها، وبسایتها و… رخ میدهد را بررسی میکند. در صورت وقوع تهدید سایبری در هر یک از این موارد، مرکز میبایست عملیات زیر را انجام دهد:
1. تشخیص
2.آنالیز
3.دفاع در مقابل تهدید
4.کاوش
5.گزارش عملیات
مرکز SOC چگونه فعالیت میکند؟
تیم SOC برخلاف تصور عام، مسئول تعیین سیاستهای کلان امنیتی، طراحی ساختار امن و توسعه استراتژیهای امنیتی نیست! وظیفه این مرکز فعالیتهای پیشرونده و عملیاتی است. یعنی متخصصان مستقر در مرکز SOC وظیفه تشخیص و آنالیز تهدیدات سایبری را دارند. میتوان گفت این مرکز وظیفه آنالیز تهدیدات بهصورت زنده را دارد و هرگاه تهدیدی مشاهده شود، آن را بررسی میکند.
استفاده مرکز SOC از SIEM
مجموعه ابزارها و تکنولوژیهایی که مرکز SOC برای تسهیل کار خود در اختیار دارد، SIEM نام دارد. SIEM مخفف Security Information & Event Management میباشد. در اصل SIEM همانکنولوژیای میباشد که نمای امنیتی تجهیزات سازمان را برای متخصصان مرکز SOC به تصویر میکشد و هشدارهای امنیتی را همبسته میکند. بدین صورت متخصصان میتوانند درمورد رویدادها نظر دهند و آنها را آنالیز کنند.