В мире информационной безопасности (ИБ) существует много различных направлений деятельности, сегодня мы разберем что такое SOC и какими компетенциями должен обладать аналитик.
ЧТО ТАКОЕ SOC
SOC (security operations center) – центр управления информационной безопасностью. Основными задачами SOC является осуществление мероприятий по мониторингу и реагированию на инциденты ИБ.
Выявление инцидентов ИБ производится путем анализа различных событий, генерируемых системами корпоративной инфраструктуры: системами защиты информации, информационными системами, сетевым оборудованием, технологическим оборудованием, рабочими станциями пользователей, серверами и т.д.
В крупных организациях приходится обрабатывать десятки и даже сотни миллионов событий в день, поэтому мониторинг в таком объеме без автоматизации невозможен. Как правило, в качестве ядра комплекса программного и аппаратного обеспечения используются системы класса SIEM.
Security information and event management (SIEM) – это централизованная система сбора, анализа и хранения событий. SIEM позволяет визуализировать данные, выявлять нарушения по определенным правилам и оповещать ответственный персонал.
Современные системы защиты информации не способны отразить 100% возможных атак, поэтому требуется постоянный контроль квалифицированными специалистами за уровнем информационной безопасности в корпоративной сети.
Автор: Максим Павлунин, Angara Professional Assistance
Источник BIS Journal
