Obiekt skupiony na wykrywaniu, badaniu i reagowaniu na zagrożenia cyberbezpieczeństwa w całej organizacji w czasie rzeczywistym.
Czym jest
Security Operations Center (SOC) mieści zespół odpowiedzialny za obronę cyberbezpieczeństwa: strojenie SIEM, polowanie na zagrożenia (threat hunting), reagowanie na incydenty i analizę powłamaniową (forensics). Tam gdzie NOC obserwuje kondycję usług, SOC obserwuje integralność tych usług.
Co jest na ścianie
Ściana wideo w SOC zwykle wyświetla: dashboardy SIEM (Splunk, Elastic, QRadar), mapy ataków na żywo, kolejki alertów EDR, kanały threat-intel, bieżące pokrycie Mitre ATT&CK oraz sygnał z mostka incydentu, gdy aktywny jest P1. Powszechne jest nagrywanie przebiegu pracy operatora na potrzeby przeglądu po incydencie.
Dlaczego to ważne
Średni czas reakcji (MTTR) to wskaźnik przetrwania dla SOC. Skrócenie go z godzin do minut decyduje o różnicy między opanowanym incydentem a naruszeniem na poziomie zarządu. Zobacz NOC oraz centrum sytuacyjne.