SOCとは
セキュリティ オペレーション センター(SOC)は、サイバーセキュリティ アナリストがエンタープライズ システムの監視、セキュリティ侵害の防御、サイバーセキュリティ脅威の識別・調査・緩和に取り組むための組織のオフィス内にある実際の部屋あるいはエリアです。
SOCは、セキュリティ担当者間のコラボレーションを促進するために設置されました。セキュリティ インシデント処理プロセスを合理化するほか、アナリストがセキュリティ インシデントのトリアージおよび解決をより効率的かつ効果的に行うのに役立ちます。
SOCの機能
セキュリティ インシデント処理にはいくつかの重要な機能が必要です。一般に、セキュリティ オペレーション チームは、アナリストの経験レベルを考慮した階層構造に従って、これらの機能を提供します。
ティア1 – トリアージ: セキュリティ アナリストが通常ほとんどの時間を費やす階層です。通常ティア1アナリストは、最も経験の浅いアナリストが担当します。その主な任務は、イベント ログを監視して疑わしいアクティビティを見つけることです。より詳しい調査が必要だと判断したインシデントについては、できる限り多くの情報を揃えたうえでティア2にエスカレーションします。
ティア2 – 調査: ティア2アナリストは、疑わしいアクティビティをさらに詳しく検分し、脅威の特性とインフラストラクチャへの侵入範囲を判断します。さらに問題の修復のための対応策をまとめ上げます。この作業の影響は大きいため、より経験値の高いアナリストが求められます。
ティア3 – 脅威捕捉: ティア3は最も経験豊富なアナリストが担当します。複雑なインシデント レスポンスのサポートが中心で、それ以外の時間は、フォレンジックとテレメトリのデータを確認し、疑わしいにもかかわらずディテクション ソフトウェアが特定しなかった可能性がある脅威の検出に取り組んでいます。平均的な企業では、ティア1とティア2がアナリストのリソースを大量に消費してしまうため、脅威捕捉の活動にかけられる時間は最も少なくなります。
SOCの構造
多くの組織では、サイバーセキュリティは従来ITチームが片手間に行う機能でしたが、現在では優先すべき重要課題と見なされています。セキュリティ オペレーション チームの中には、依然としてITの一部として活動しているチームもあれば、独自の組織として独立しているチームもあります。SOCは次の活動形態が考えられます。
インフラストラクチャおよびオペレーション チームの一部として
セキュリティ グループの一部として
ネットワーク オペレーション センター(NOC)の一部として
CIOまたはCISOの直属
アウトソーシングされる機能(全面的または一部)として
SOCで使用されるツール
SOCでは、防御、イベント ロギング、自動化、検出、調査、オーケストレーション、対応のためのさまざまなツールを使用します。多くのSOCチームは、インフラストラクチャの各部でサイロ化されたツール セットを複数使用しています。OvumやESGなどの市場調査会社のリサーチによると、大多数の企業はそのSOCで、25種類を超える個別ツールを使用しています。
XDRは、エンドポイント、ネットワーク、クラウドからのデータを統合するだけでなく、相関させるまったく新しいディテクション&レスポンス ツールです。XDRは、セキュリティ オペレーション チームが利用している主なツールのいくつかに置き換わるもので、セキュリティの可視性、効率、有効性を高めるように設計されています。XDRがセキュリティ オペレーションをどう最適化するかについて、詳しくは Cortex XDR.