Vilka verktyg och tekniker används i SOC:er?
På den här sidan
- 7 verktyg och tekniker som är avgörande för ett SOC-team
I föregående kapitel såg vi vikten av att ha ett team för säkerhetscenter (SOC). I den här artikeln går vi igenom vilka verktyg och tekniker som används i SOC.
7 verktyg och tekniker som är avgörande för ett SOC-team
Verktyg
Verktyg för insamling och hantering av loggar
För att kunna utföra en säkerhetsanalys måste du först skaffa relevant information. Loggfiler är den mest pålitliga källan till information om vad som händer i nätverket. Men varje dag genereras miljontals loggar av flera enheter i nätverket. Att manuellt gå igenom dem är ineffektivt eller rent av omöjligt. Ett logghanteringsverktyg kan automatisera hela processen för logginsamling, parsning och analys. Det ingår vanligtvis i en SIEM-lösning.
Säkerhetsinformation och händelsehantering (SIEM)
En av de mest grundläggande teknologierna som utgör kärnan i ett SOC är ett SIEM-verktyg. Loggfiler som samlas in över organisationens nätverk innehåller en mängd information som måste analyseras för att upptäcka onormalt beteende. En SIEM-plattform samlar in loggar från olika typer av system, analyserar dem för att hitta tecken på attacker och varnar direkt om något misstänkt upptäcks.
SOC-teamet får säkerhetsinformation presenterad som grafiska rapporter i en interaktiv översiktspanel. Med hjälp av dessa rapporter kan SOC-teamet snabbt undersöka hot och attackmönster och få olika insikter från loggtrender, allt från en enda konsol. När en säkerhetsincident inträffar kan SOC-teamet även använda SIEM-verktyget för att hitta grundorsaken till intrånget genom forensisk logganalys. Loggdata kan granskas på djupet för att gå vidare med utredningen av en säkerhetsincident.
En SIEM-lösning ger en helhetsbild av ditt företagsnätverk.
Sårbarhetshantering
Eftersom cyberbrottslingar ofta utnyttjar befintliga svagheter i nätverket för att ta sig in, behöver SOC-teamet regelbundet söka igenom och övervaka nätverket efter sårbarheter. När sårbarheten upptäcks måste den åtgärdas snabbt innan den hinner utnyttjas.
Identifiering och åtgärd på slutpunkt (EDR)
EDR-teknik avser vanligtvis verktyg som främst är inriktade på att undersöka hot riktade mot slutpunkter eller värdar. De hjälper SOC-teamet genom att fungera som en första försvarslinje mot hot som är utformade för att enkelt kunna kringgå yttre försvar.
- Upptäcka säkerhetshot
- Begränsa hotet vid slutpunkten
- Undersöka hotet
- Åtgärda hotet innan det sprider sig
EDR-verktyg övervakar kontinuerligt olika slutpunkter, samlar in data från dem och analyserar informationen för att upptäcka misstänkta aktiviteter och attackmönster. Om ett hot har identifierats kommer EDR-verktyget att begränsa hotet och omedelbart varna säkerhetsteamet. EDR-verktyg kan också integreras med cyberhotinformation, hotjakt och beteendeanalys för att snabbare upptäcka skadliga aktiviteter.
Om den här förklaringen: Ett starkt SOC är beroende av SIEM för att proaktiv med säkerhet. Utforska vår djupgående serie om Vad är SIEM och SIEM-verktyg för att se hur det kan förbättra dina säkerhetsrutiner.
Teknologier
Analys av användar- och enhetsbeteende (UEBA)
Ett annat ovärderligt verktyg för ett SOC-team är en UEBA-lösning. UEBA-verktyg använder maskininlärning för att analysera data från olika enheter i nätverket och fastställa vad som är normalt beteende för varje användare och enhet. Ju mer data och erfarenhet UEBA-lösningarna har, desto mer effektiva blir de.
UEBA-verktyg analyserar dagligen loggar från olika nätverksenheter. När en händelse skiljer sig från det normala flaggas den som avvikande och granskas närmare för möjliga hot. Om en användare som vanligtvis loggar in mellan kl. 9 och 18 plötsligt loggar in kl. 3 på natten markeras den händelsen som en avvikelse.
Ett riskpoäng från 0 till 100 tilldelas användaren eller enheten baserat på olika faktorer, som hur allvarlig åtgärden är och hur ofta avvikelsen sker. Om riskpoängen är hög kan SOC-teamet undersöka avvikelsen och snabbt vidta korrigerande åtgärder.
Jakt på cyberhot
Hur kan SOC-team ligga steget före när cybersäkerhetsattackerna blir allt mer sofistikerade? Cyberbrottslingar kan finnas kvar i organisationens nätverk och kontinuerligt samla in data och höja sina privilegier utan att upptäckas på flera veckor. Konventionella detekteringsmetoder är reaktiva, medan hotjakt däremot är en proaktiv strategi. Det hjälper till att upptäcka hot som vanliga säkerhetsverktyg ofta inte fångar upp.
Det börjar med en hypotes följt av en utredning. Hotjägare söker proaktivt igenom nätverket efter dolda hot för att förhindra potentiella attacker. När ett hot identifieras samlar hotjägarna in information om hotet och vidarebefordrar den till berörda team så att lämpliga åtgärder kan vidtas omedelbart.
Hotinformation
För att ligga steget före de senaste cyberattackerna måste SOC-teamet vara väl medvetet om alla typer av möjliga hot mot organisationen. Hotinformation är evidensbaserad kunskap om tidigare eller kommande hot, som delas mellan organisationer. Med hjälp av hotinformation kan SOC-teamet få en djupare förståelse för olika skadliga hot och hotaktörer, deras mål, saker att vara uppmärksam på och hur hoten kan begränsas.
Hotinformationsflöden kan användas för att få information om vanliga indikatorer på intrång, såsom obehöriga IP-adresser, webbadresser, domännamn och e-postadresser. Eftersom nya attacker ständigt dyker upp uppdateras hotinformationen hela tiden. Genom att korrelera dessa hotflöden med loggdata kan SOC-teamet omedelbart få en varning när någon hotaktör interagerar med nätverket.