Нервный центр безопасности
SOC (Security Operations Center — Центр операций безопасности) — команда специалистов и технические средства, которые круглосуточно мониторят инфраструктуру организации, обнаруживают угрозы и реагируют на инциденты. Это глаза и уши безопасности в режиме реального времени.
В основе SOC лежит SIEM (Security Information and Event Management) — система, агрегирующая и анализирующая события безопасности из всех источников.
Что такое SIEM
Каждое устройство в сети генерирует события (логи): файрвол логирует соединения, сервер — попытки входа, антивирус — обнаруженные угрозы. В крупной организации — миллионы событий в день. Вручную анализировать невозможно.
SIEM собирает все логи в одном месте, нормализует их (приводит к единому формату) и применяет правила корреляции: если с одного IP за 1 минуту было 1000 неудачных попыток входа — это, скорее всего, атака. SIEM создаёт алерт.
Популярные SIEM: Splunk, IBM QRadar, Microsoft Sentinel, Elastic SIEM.
Структура SOC
Tier 1 — аналитики первой линии: обрабатывают алерты от SIEM, отсеивают ложные срабатывания, эскалируют серьёзные инциденты.
Tier 2 — аналитики второй линии: расследуют сложные инциденты, проводят глубокий анализ, разрабатывают правила корреляции.
Tier 3 — эксперты: threat hunting (активный поиск угроз без алертов), реверс-инжиниринг малвари, форензика.
Threat Hunting
Threat hunting — проактивный поиск угроз, которые уже присутствуют в сети, но не вызвали алертов. «Предположим, что нас уже взломали — где могут прятаться злоумышленники?» Основан на гипотезах и аналитике поведения, а не на сигнатурах.
Метрики
Ключевые метрики SOC: MTTD (Mean Time to Detect — среднее время обнаружения) и MTTR (Mean Time to Respond — среднее время реагирования). Снижение этих показателей — цель любого SOC.