۹ نیاز اصلی مراکز SOC

اگر شما در شرف ساختن یک مرکز عملیات امنیتی (SOC) هستید یا قصد ایجاد یک تیم متخصص SOC را دارید ، دانستن اینکه از کجا شروع کنید و کجا تمرکز کنید تا تمام مبانی مربوط به محافظت از دارایی های دیجیتال را تحت پوشش قرار گیرند می تواند به تنهایی یک چالش بزرگ باشد!

برای کمک به پیشرفت شما شما در رسیدن به هدف خود، در اینجا به ۹ جزء اساسی و مهم که باید در مرکز SOC شما باشد، می پردازیم. هر یک از این مولفه ها، داده های مفید و دیدگاه منحصر به فردی برای کمک به تیم SOC شما ایجاد می کند تا به تیم شما دقیقاً متوجه شود چه اتفاقی می افتد و تعیین کند که چگونه می توان تهدیدات امنیتی را به بهترین شکل پیشگیری ، مهار و کاهش داد.

۹ نیاز اصلی مراکز SOC

Log Collection: جمع آوری پیوسته لاگ ها میتواند میلیون ها رویداد در روز ایجاد کند. شما به ابزار یا ابزار هایی  نیاز دارید که به شما امکان جستجو ، تجسم و تجزیه و تحلیل سریع لاگ ها را در صورت وقوع یک رویداد امنیتی بدهد. در مورد جمع آوری و ذخیره سازی، معمولا لاگ های ۹۰ روز گذشته بسیار مهم هستند اما با توجه به شرایط سازمان شما، ممکن است از شما خواسته شود تا لاگ ها را تا بیش از ۷ سال ذخیره کنید.

با توجه به این که شناسایی و یافتن رخنه های امنیتی معمولا ۲۰۰ روز طول می کشد، به شما توصیه می کنیم تا حداقل به لاگ های یک سال گذشته خود دسترسی داشته باشید تا با استفاده از آن ها و مقایسه فعالیت های جدید و قدیم و مشاهده سوابق ورود به سیستم بتوانید به علت نقص های مکرر را کشف کنید.

Security Information and Event Management (SIEM): ابزارهای SIEM با ایجاد هشدار با توجه به سیاست های تنظیم شده و ارائه داشبوردها با تجزیه و تحلیل real-time و زمان بندی شده بر اساس Log های موجود به شما کمک کند تا رفتارهای عجیب و غریب و مشکوک را به صورت رویکردی سیستماتیک فوراً شناسایی کرده و به سرعت به سمت حل صورت مسئله بپردازید. همچنین ابزارهای SIEM به شما کمک می کنند تا فرایند ورود افراد به سیستم و اینکه کاربران از کجا وارد شده و به چه بخش هایی دسترسی دارند را تحت مانیتورینگ قرار دهید، که با این کار می توانید در صورت وجود رخنه امنیتی، مهاجمی ای که به شبکه شما نفوذ کرده را به راحتی شناسایی و اقدامات لازم را انجام دهید.

Endpoint Detection and Response: معمولا ابزار های Endpoint Detection and Response همه سرورها و workstation  ها را تحت پوشش قرار می دهد. روند کار این ابزار ها به طور خلاصه به دو مرحله تقسیم میشود، مرحله Detection (شناسایی) و Response (واکنش). در مرحله اول که Detection (شناسایی) است به شما در شناسایی process هایی که مشکلات امنیتی را به وجود می اوردند، کمک می کند و در مرحله Response (واکنش) با استفاده از بستر دامین حساب های کاربری ای که باعث به وجود آمدن مشکلات شناسایی شده در مرحله اول هستند را غیر فعال یا سیاست ها مورد نظر شما را اجرا می کند. با Endpoint Detection and Response ، می توانید وضعیت تغییرات یا ذخیره شدن یا باز بودن پرونده های مهم را نیز مانیتور کنید که این داده ها به شما کمک می کند تا بفهمید که آیا در شبکه شما یک تهدیدی پیشرفته یا بدافزار وجود دارد و در صورت وجود، مکان دقیق آن را شناسایی کنید. به این ترتیب با توجه به اطلاعات به دست آورده، وقتی با یک تهدید روبرو می شوید ، می توانید سرور ها و workstation های آلوده را تا زمانی که آسیب پذیری برطرف شود، جدا و قرنطینه  کنید.

Threat Hunting: مسئولیت سیستم های Threat Hunting شناسایی بدافزارهای ناشناخته یا مشکوک و راه های نفوذ در شبکه است. این سیستم های همانند کارآگاه هایی هستند، که تصور می کنند همیشه شخصی در کمین شبکه است و سعی در آسیب رساندن دارد. سیستم های Threat Hunting می توانند با استفاده از ابزاری که همه ماشین ها را اسکن می کند، افرادی را که در حال حاضر به سیستم وارد شده اند شناسایی کنند و پارامتر و هش های مختلف را بررسی کنند، که اگر نشان دهنده نفوذ یا رخنه امنیتی بود، ایجاد هشدار می کند. اگر تیم SOC فرایند مشکوکی را کشف کند ، می تواند با استفاده از ابزار Endpoint Detection and Response، حمله را دفع کرده و دستگاه های آسیب دیده را قرنطینه یا حتی مهم تر ، آنها می توانند اطمینان حاصل کنند که تهدید گسترش نمی یابد.

User and Entity Behavior Monitoring (UEBA): مانیتورینگ کاربران و رفتارهای آن ها به صورت real-time موجب می شود تا رفتار های پایه و روزمره کاربران شناسایی شود و در صورت بروز مشکل تیم SOC می تواند تا فعالیت های روز های عادی را با فعالیت روز حادثه مقایسه کند تا مشخص کند آیا فعالیت مشکوکی در حال انجام است یا خیر.

همچنین UEBA می توانند فعالیت کاربران را با فعالیت دیگر کاربران مقایسه کنند، اگر کاربر یا رفتار کاربر تغییر کند ، هشدار ها را به  داشبورد های مربوط ارسال می کند تا تیم SOC را از وجود ناهماهنگی مطلع سازد. سطح امتیازات به همراه ترکیبی از فعالیتهای مختلف می تواند باعث بالا رفتن نمرات ریسک و ایجاد پرچم های قرمز و در نهایت ارسال هشدار شود. به عنوان مثال ، در صورت ورود یک کاربر ممتاز به ۵۰۰ سرور در هشت ساعت ، نمره خطر بلافاصله افزایش می یابد تا تیم متوجه شود که لازم است موضوع را سریعاً بررسی کند.

Vulnerability Management: سیستم مدیریت آسیب پذیری رخنه و شکاف دفاعی امنیتی را بطور فعالانه شناسایی و اولویت بندی می کند و به شما این امکان را میدهد تا قبل از وقوع حملات و مورد نفوذ قرار گرفتن دارایی های سازمان، این آسیب پذیری ها را برطرف کنید. ابزارهای مدیریت صحیح آسیب پذیری می توانند با بارگذاری عوامل بر روی هر دستگاه ، هر حساب کاربری و هر دستگاه را مدیریت کنند تا اسکن های غیرفعال را اجرا کنند که بر عملکرد برنامه تأثیر نمی گذارد. سپس می توانید هشدارها را کنترل کرده و در صورت بروز آسیب پذیری دریافت کنید. اغلب اوقات ، مسئله استفاده از پچ است. اما بدون این قابلیت ، تیم شما هرگز نمی داند چه زمانی مورد نیاز است.

شما با نصب agent های سیستم های Vulnerability Management بر روی دستگاه سازمانتان می توانید هر دستگاه و حساب کاربری را به صورت Passive که در اسکن کنید تا از هشدار های احتمالی با خبر باشد. در اغلب اوقات آسیب پذیری دستگاه ها با نصب پچ های مربوط حل می شود اما بدون این سیستم تیم SOC هرگز متوجه این نیاز ها نخواهد شد.

Deception Technology: تکنولوژی Deception یک سیستم ایجاد تله و فریب مهاجمان و نفوذگران است. شاید برای شما سوال شود که نحوه کار کرد این سیستم چگونه است؟

تکنولوژی Deception دستگاه های طعمه را با استفاده از آدرس های IP اختصاصی و نامرتبط به شبکه اصلی در دسترس  مهاجمان برای جذب آنان قرار می دهد و پس از فریب خوردن هکرها برای نفوذ به آن دستگاه ها، آن مهاجمین را شناسایی و آنان را از شبکه اصلی دور نگه می دارد. همچنین با استفاده از این سیستم می توانید اطلاعات مربوط به روش های استفاده شده برای نفوذ به آن دستگاه ها، دست یابید تا تیم شما بتواند سیستم دفاعی شبکه را بهبود ببخشد.

Threat Intelligence Feeds: این سیستم اطلاعاتی را در اختیار شما قرار می دهد تا بتوانید اطلاعات کامل تهدیدهای شبکه داخلی خود را به طور کامل جمع آوردی کنید و از انواع جدید حملات جلوتر باشد. با پیکربندی درست سیستم که تیم عملیاتی SGAP می تواند در انجام آن شما را همراهی کند، تیم شما می تواند تهدیداتی را که شرکت شما هنوز با آن روبرو نشده است شناسایی کند. این اطلاعات چشم انداز شما را در مورد آنچه ممکن است در شبکه شما اتفاق بیفتد بهبود می بخشد و با توجه به بروز بود سیستم و اشتراکی بودن ، می توانید اقدامات پیشگیری را برای جلوگیری از تهدیدها اعمال کنید.

Security Orchestration, Automation and Response (SOAR): سیستم امنیت Orchestration، اتوماسیون و واکنش به مراکز عملیاتی امنیتی امکان ساده و خودکار کردن جریان و روند کار را می دهد و آنها را بسیار کارآمدتر و موثرتر می کند. استفاده از SOAR به شما امکان می دهد تا threat intelligence را بهینه و ارتقاء دهید، فرایندها را استاندارد کنید و کارهای دستی را کاهش دهید. این می تواند زمان واکنش به به تهدیدها را سریعتر کند که به نوبه خود تأثیری که تهدید دارد، را کاهش می دهد.

ارزش مرکز SOC خود را بالا ببرید

کلید به حداکثر رساندن مقدار این مولفه ها چیست؟ شما میتوانید با استفاده از سیستم های طراحی شده برای مراکز SOC داده های شبکه را در میان تمام ابزارها به اشتراک بگذارید. این امر به کل تیم عملیات امنیتی شما امکان دید فیلتر شده تمامی اطلاعات را می دهد. هرچه دیدگاه بیشتری ایجاد کنید ، تیم شما بهتر می تواند از مشکلات جلوگیری ، مهار و آن ها را کاهش دهد.

سدید گستران امن پارس به عنوان تخصصی ترین مرکز امنیت و تست نفوذ در شرق کشور جهت بالا بردن امنیت و جلوگیری از حملات و تهدیدات سایبری سیستم بومی مرکز عملیات امنیت SIEM خود را با نام SGAPHunter در اختیار مشتریان محترم قرار میدهد . محصول بومی شرکت سدید گستران امن پارس به نام به گونه ای طراحی شده است تا بهترین، ایمن ترین و متمرکز ترین شرایط را برای سازمان و مرکز SOC شما را ایجاد کند.

  • Active Directory Pentesting Full Course – Red Team Hacking

Active Directory Pentesting Full Course – Red Team Hacking

Active Directory Pentesting Full Course – Red Team Hacking   اکثر شبکه های امروزی از سرویس اکتیو دایرکتوری برای مدیریت اکانتینگشبکه استفاده میکنند . در واقع سرویس AD برای مدیریت لاگین و دسترسی [...]