مرکز عملیات امنیت (SOC)، عملکردی متمرکز در یک سازمان است که افراد، فرآیندها و تکنولوژی را برای نظارت مستمر و بهبود وضعیت امنیتی سازمان در حین پیشگیری، شناسایی، تجزیه و تحلیل و پاسخ به حوادث امنیت سایبری به کار میگیرد.
تیم SOC بر فعالیت سرورها، پایگاههای داده، شبکهها، برنامهها، کلاینتها، وبسایتها و سایر سیستمها نظارت میکند تا تهدیدات امنیتی بالقوه را شناسایی و آنها را در سریعترین زمان ممکن خنثی کند. آنها همچنین بر منابع خارجی مرتبط (مانند لیست تهدیدات) را که ممکن است بر وضعیت امنیتی سازمان تأثیر بگذارند، نظارت می کنند.
یک SOC نه تنها باید تهدیدها را شناسایی کند، بلکه باید آنها را تجزیه و تحلیل کند، منبع را بررسی، در مورد هر گونه آسیب پذیری کشف شده گزارش دهد. به عبارت دیگر، تیم مرکز عملیات امنیت می بایست با مشکلات امنیتی برخورد متناسب را داشته باشند و در عین حال، به طور مداوم به دنبال راه هایی برای بهبود وضعیت امنیتی سازمان باشند.
همچنین، یکی دیگر از مهمترین وظایف یک مرکز عملیات امنیت، جمعآوری و تحلیل دادهها با استفاده از راهکار SIEM است. مرحله جمعآوری داده بسیار حائز اهمیت بوده و در صورت جمع آوری نادرست نمیتوان تحلیل داده را به صورت صحیح و موثر انجام داد. پس در صورتیکه جمع آوری داده های مختلف و طراحی و پیاده سازی Use Case ها به درستی انجام شود، تشخیص به موقع تهدیدات امکان پذیر میگردد. پیشنهاد تیم سورین در خصوص SIEM مورد استفاده در مراکز عملیات امنیت، در درجه اول اسپلانک (Splunk) و در اولویت های بعدی ELK یا WAZUH است.
اسپلانک
اسپلانک یکی از مجبوب ترین و منعطف ترین SIEM های موجود در جهان برای ذخیرهسازی، تجزیه و تحلیل و جستجو روی دادهها است. ثبت و بررسی دادهها در اسپلانک در یک محیط قابل جستجو از طریق رابط کاربری تحت وب انجام میشود که قابلیت نمایش دادهها بهصورت نمودار، جدول ، هشدار و ... را دارد. شما میتوانید با استفاده از قابلیت ایجاد گزارش و داشبورد، داشبوردهایی را به منظور مانیتورینگ و تشخیص مشکلات سازمان خود و ... ایجاد کنید.
از جمله ویژگیهای اسپلانک این است که هر نوع لاگ متنی را با هر نوع فرمتی تجزیه تحلیل یا به اصطلاح، Parse می کند. در واقع اسپلانک هیچگونه وابستگی به فرمت لاگ نداشته و صرفا متنی بودن آنها مهم است.
شما با استفاده از اسپلانک میتوانید لاگ تجهیزات امنیتی، تجهیزات زیرساختی مثل مودم و روتر، نرمافزارها، سیستم عامل ها، تجهیزات هوشمند مانند موبایل و تبلت و ... را مورد بررسی قرار دهید. اسپلانک تمامیاین لاگها را به صورت یکجا ذخیره و دسته بندی میکند و بدین ترتیب شما میتوانید ارتباط بین تغییرات بخشهای مختلف را به راحتی مشاهده و در صورت لزوم آنها را اصلاح کنید.
برای بهرهوری از تمام امکانات مهم و کاربردی اسپلانک باید از لایسنس اورجینال آن را خریداری کنید. شرکت فناوری راه سورین با سالها تجربه در زمینه امنیت سایبری، ارائه دهنده لایسنس اسپلانک میباشد. از سایت soorinsec.ir دیدن فرمایید.