Installation dédiée à la détection, à l'investigation et à la réponse aux cybermenaces dans toute une organisation, en temps réel.
Ce que c'est
Un Security Operations Center (SOC) héberge l'équipe responsable de la défense en cybersécurité : réglage du SIEM, chasse aux menaces, réponse aux incidents et analyse forensique a posteriori. Là où un NOC surveille la santé des services, un SOC surveille l'intégrité de ces mêmes services.
Ce qu'il y a sur le mur
Un mur d'images de SOC affiche généralement : des tableaux de bord SIEM (Splunk, Elastic, QRadar), des cartes d'attaque en direct, des files d'alertes EDR, des flux de threat intelligence, la couverture Mitre ATT&CK courante et un flux de pont d'incident lorsqu'un P1 est actif. Les enregistrements du flux de travail de l'opérateur sont courants pour la revue post-incident.
Pourquoi c'est important
Le délai moyen de réponse (MTTR) est l'indicateur de survie des SOC. Le réduire d'heures à minutes fait la différence entre un incident maîtrisé et une violation au niveau du conseil d'administration. Voir NOC et centre de situation.