SOC merkezi bir organizasyonun, kurumun bilgi güvenliği sistemlerini kontrol ve analiz ederek siber güvenlik tehditlerine karşı korur. Bir SOC ekibinde yönetici, güvenlik analistleri, güvenlik mühendisleri bulunur ve diğer tüm BT personeliyle koordineli olarak çalışırlar.
Bir SOC ekibinin çalışabilmesi için donanımsal ve yazılımsal uygun altyapıya sahip olması gerekmektedir. SOC faaliyetlerinin temeli kurumun sahip olduğu cihaz ve sistemlerden gönderilen log kayıtları ve bu verileri analiz edip uygun sonuçlar ve tepkiler üreten SIEM ve SOAR sistemleridir.
Bir SOC ekibinde bulunması gereken görevliler ve görevleri şunlardır:
SOC Yöneticisi SOC operasyonlarını ve takımı yönetir,
Baş Bilgi güvenliği görevlisi güvenlik stratejileri ve politikaları oluşturur. Yönetim ile SOC ekibi arasında koordinasyon sağlar,
Güvenlik analisti olması muhtemel güvenlik tehditlerini analiz eder önlem alır,
Güvenlik mühendisi SOC sistemlerinin çalışmasından güncellenmesinden sorumludur,
Olay yanıt sorumlusu olayları olurken yönetmek ve BT personeliyle koordinasyonu sağlamaktan sorumludur.
SOC iş akışı çözümleri:
Varlık envanterinin çıkarılması: Kurumun sahip olduğu korunması gereken sistem yazılım ve donanımlarının tespit edilmesi
Zafiyet değerlendirmesi: Sahip olunan envanterin zafiyet değerlendirmesi
Davranışsal izleme: Sistemin normal davranışlarının belirlenmesi ve normal olmayanların tespiti
Sızma girişimlerini tespit etme: IDS ve diğer teknolojileri kullanarak sızma ve anormal davranışların tespiti
SIEM: Olay kayıtlarının toplanıp kategorize edilmesi filtrelenmesi ve anlamlı sonuçlar elde edilmesi
SOAR: Elde edilen verilerin birleştirilmesi, otomatik olarak cevap verilebilir hale getirilmesi
Bir SOC merkezinde kullanılması gereken önemli çözümler:
– SIEM Güvenlik Bilgisi
– Penetrasyon testi ve güvenlik açığı araçları
– Yönetişim, Risk ve Uyum (GRC) sistemleri
– IDS/IPS sistemleri
– UTM ya da NGFW
– Log yönetim sistemleri
– Siber tehdit istihbarat
– Veri tabanı ve güncelleme sistemleri
– SOAR sistemi