勉強前イメージ
365日24時間セキュリティ見守る人?
調査
Security Operation Center とは
Security Operation Center 略して SOC、
サイバー攻撃の検出、分析を行いアドバイスを行う専門組織です。
通常時はネットワーク・デバイスの監視を行います。
背景としては、システムの環境もクラウドとの連携も行われることが多い昨今、
サイバー攻撃も多種多様になり、あらゆる手段で狙われるようになりました。
そういった中で各企業から需要が高まっています。
社内で行う場合もあれば、外部に委託する場合もあります。
SOCの主な業務
- アラート監視
アラートの検知を行います。
firewallやIDS/IPS、WAF、ADの認証サーバやwebフィルタリングなど
多岐にわたるデバイスのログをSIEMというシステムに集約し、検知を行います。
- 分析
検知したアラートの分析、攻撃内容にして特定します。
- 調査
外部機関からのセキュリティ情報についての調査などを行います。
- 定期報告
発生したインシデントの日時や対応方針などをまとめてCSIRTに報告します。
- インシデント管理
SOAR(セキュリティインシデントの監視などを効率的に行えるようにする技術)などでのステータス管理
- 監視体制の維持
監視メンバーのローテーションや定期的な教育
- SIEMの機能管理
サイバー攻撃に関する情報や外部機関からの脅威情報から
検知ロジックやブラックリストなどをチューニング
勉強後イメージ
24時間365日、ログなど見たり検知したりしてくれるサービスってことだね??
そういうサービスあるって知らなかったー
セキュリティに特化したアラート検知の人たち。。。
導入するにしても、ログ集約させるシステムとか構築させるのは大変そうだなー
細かい単語までは調べられてないから、今度にする