وظایف مرکز عملیات امنیت SOC

مرکز عملیات امنیت SOC، رویدادهای امنیتی در یک زیرساخت اطلاعاتی را سبب می شود. اپلیکیشن ها، سیستم عامل و تجهیزات سخت افزاری همگی جزو سنسور‌های شبکه محسوب می‌شوند. رویدادهای امنیتی که از این سنسور ها به دست می آیند، در قالب های یکسان درون یک بانک اطلاعاتی ذخیره می گردند. این اطلاعات ابتدا توسط تحلیلگر SOC بررسی شده و در ادامه زیرساخت های اطلاعاتی در قالب رویداد های مختلف اعلام خواهد شد.

تحلیلگر SOC جهت تشخیص رویدادها و وابستگی بین آن ها از اطلاعات ذخیره شده در مرکز عملیات امنیت استفاده می کند. به عبارت ساده تر، از طریق اطلاعات پایگاه دانش می‌توان عامل اصلی حملات و تهدیدها را پیدا کرد.

از دیگر وظایف تحلیلگر مرکز عملیات امنیت SOC به روز رسانی اطلاعات پایگاه دانش است. این اطلاعات شامل سیاست های امنیتی تعریف شده نقاط آسیب پذیر و وضعیت فعلی سازمان می گردد.

سنسورهای شبکه

رویدادهای امنیتی توسط سنسورهای شبکه جمع آوری می شوند. فایروال ها، مسیریاب ها، سوئیچ ها و سیستم عامل ها از جمله سنسور های شبکه به شمار می آیند.

از دیگر سنسورهای شبکه می توان به IDS ها اشاره کرد. IDS ها بسته های عبوری از شبکه را بررسی می کنند و تهدیدات و خطرات احتمالی را کشف کرده و آن ها را به صورت رخداد ثبت می نمایند.

یکی از بزرگترین چالش های مدیریتی در شبکه ها، بررسی رویداد های ثبت شده توسط IDS ها می باشد، زیرا روزانه هزاران رخداد  توسط IDS ها ثبت می شوند که بلا استفاده هستند.

 از دیگر سنسورهای امنیتی در شبکه می توان فایروال ها را نام برد. وظیفه کنترل دسترسی به منابع بر اساس سیاست های امنیتی بر عهده فایروال است. البته گاهی اوقات حریم های امنیتی فایروال توسط هکرهای حرفه ای شکسته می شود. با این وجود، داده های ثبت شده در فایروال به همراه سایر سنسورهای شبکه می‌تواند به کشف حملات و خطرات احتمالی کمک کند.

تحلیلگر soc,مرکز عملیات امنیت,مرکز عملیات امنیت soc,

سیستم عامل و اپلیکیشن های نصب شده نیز می‌ توانند به عنوان سنسور شبکه عمل کنند. رخداد های مربوط به دسترسی کاربران، تغییرات پیکربندی سیستم و سایر خطاهای رخ داده توسط سیستم عامل و برخی از برنامه ها ثبت می شود.

واحد LOG GENERATOR

واحد LOG GENERATOR در سامانه، وظیفه جمع آوری رویداد های امنیتی از سنسورهای شبکه را بر عهده دارد. این سامانه اطلاعات و رویدادهای امنیتی را جمع‌آوری کرده و آن ها را در قالب های یکسان درون یک بانک‌ اطلاعاتی ذخیره می کند.

تحلیلگر SOC

رخدادهای زیادی توسط سنسورهای شبکه ثبت می شوند که لزوماً همه آن ها مربوط به رویدادهای امنیتی نیستند. با افزایش منابع شبکه و کاربران، رخداد های بیشتری در شبکه تولید خواهند شد که نیروی انسانی قادر به بررسی همه آن ها نخواهد بود. بنابراین، لازم است دانش مربوط به بررسی این رخدادها روی یک برنامه هوشمند پیاده ‌سازی شود.

یک برنامه هوشمند امنیتی باید بتواند حملات و خطرات احتمالی را شناسایی کرده و اقدامات لازم برای مقابله با آن ها را انجام دهد. واکنش به تهدیدات امنیتی توسط برنامه های امنیتی می تواند به صورت ارسال پیغام یا از کار انداختن برخی از سرویس ها و سامانه ها صورت گیرد.

 واحد تحلیل و correlation 

رخدادهای جمع ‌آوری شده توسط واحد تحلیل و correlation  آنالیز می شوند. این واحد، اطلاعات مربوط به رخداد ها را از پایگاه دانش به دست می آورد. هر کدام از الگوریتم های این واحد، دسته خاصی از حملات را شناسایی می کنند. جهت عملکرد درست این واحد باید ماژول های متعددی در SOC پیاده سازی شوند.

واحد تحلیل رخدادها

در واحد تحلیل رخدادها یک زیرسامانه وجود دارد که وظیفه آن واکنش به رویدادها است. برخی از رویدادهای امنیتی که توسط سنسور ها کشف می شوند، باعث واکنش این زیر سامانه خواهند شد.

پورتال و کنسول

از طریق بخش پورتال و کنسول می‌ توان به تنظیمات و ماشین های مختلف دسترسی پیدا کرد. همچنین از طریق این بخش می توان نتیجه عملیات انجام شده روی رخدادها را مشاهده نمود.

مرکز عملیات امنیت soc چیست,تحلیلگر soc,مرکز عملیات امنیت,

قلب SOC

ابزار هایی که در ادامه آن ها را معرفی می کنیم ، در واقع قلب یک مرکز عملیات امنیتی محسوب می شوند:

  1. security information and event management یا SIEM
  2. ابزار شناسایی دارایی ها
  3. ابزار ارزیابی آسیب پذیری

بخش های اصلی SIEM

  • ماژول تولید کننده وقایع، تمامی وقایع را شناسایی و آن ها را برای تجهیزات مربوطه ارسال می کنند.
  • پایگاه داده وقایع، اطلاعات ثبت شده توسط ماژول ها را جمع آوری کرده و آن را برای ماژول های دیگر می فرستد.
  • تحلیلگر وقایع، اطلاعات ثبت شده در پایگاه داده را بررسی کرده و با هدف شناسایی رویداد آن را در اختیار ماژول های دیگر قرار می دهد.
  • واکنش دهنده وقایع وظیفه دارد در صورت شناسایی رخداد های امنیتی، آن ها را به تجهیزات امنیتی هشدار داده و از عبور آن در شبکه جلوگیری کند.
  • گزارش دهنده وقایع، رخدادهایی ثبت شده را به مدیران شبکه یا اپراتورهای SOC گزارش می کند.